Hôm qua bố về de-serialization dễ bị tổn thương (CVE-2015-4852):SpringFramework có sử dụng InvokerTransformer từ commons.collections không?
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
Spring Framework sử dụng commons.collections.
Nếu SpringFramework sử dụng InvokerTransformer, nó có thể dễ bị tổn thương do lỗ hổng de-serialization (CVE-2015-4852).
Câu hỏi SpringFramework sử dụng InvokerTransformer từ commons.collections?
Bạn đã thử grepping mã nguồn? – Marged
Tôi sẽ tải xuống mã nguồn grep. Có thể ai đó đã có mã số và có thể grep :) – Michael
Không phải là câu hỏi quan trọng hơn bất cứ điều gì cho dù trong Cơ cấu mùa xuân unserializes đối tượng serialized dùng cung cấp? Vào thời điểm đó, nếu commons-bộ sưu tập được trình bày (kể từ khi vuln crafted sử dụng 'InvokerTransform') và Xuân được đưa một đối tượng đăng, bạn có nguy cơ. –