Eclipse Mojarra中的faces/context/PartialViewContextImpl.java,在2.3.10之前的Eclipse EE4J和2.2.20之前的Mojarra-JavaServer faces的Mojarra中使用,允许反射XSS,因为客户端窗口字段处理错误。 2.目录遍历: 2.3.14之前版本的Eclipse Mojarra中的目录遍历允许攻击者通过loc参数或con参数读取任意文件。 我无法理解这些警告的原因以及如何解决它们。 我需要JSF和安全专家的帮助。
-
我不明白你不理解报告的哪一部分。 您基本上只需要将Mojarra 2.3.9升级到最新的2.3.x版本。 报告基本上提到了2个问题,分别在2.3.10中修复。 2.3.14. 因此,很明显,您至少需要2.3.14,但为了确保修复所有最后已知的错误,最新的总是最佳选择。 – 巴卢斯科 评论 4月3日13:50 -
尽管我将Javax faces库升级到2.4.0,并将mojarra-parent依赖项的安全版本添加到我的库中,但问题仍未解决。 这就是为什么我不明白。 – 埃布鲁卡亚 评论 4月5日13:56 -
2.4.0是 不 最新可用的2.3.x版本。 那是目前 2.3.21 此外: stackoverflow.com/a/58269503 – 巴卢斯科 评论 4月5日14:58