Die Sicherheitslücke CVE-2022-3171 wird folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit gefunden.:
- CVE-2022-3171
- CVE-2022-3510
- CVE-2022-41881
- CVE-2021-22569
- CVE-2022-3509
Herkunft
Die CVE kommt CVEs kommen durch die Dependency protobuf-java in Version 2.5. Diese Dependency ist transitiv und landet durch gwt-servlet (alle Versionen) des Google Web Toolkit im Produkt.
Bewertung
| False positive |
Nach Analyse des GWT-Quellcodes und Sichtung der entsprechenden Issues des GWT-Projekts (siehe hier und hier) wird dieses CVE werden diese CVEs als nicht relevant für das jadice web toolkit eingestuft.
Hintergrund ist, dass in gwt-servlet die entsprechenden protobuf-Klassen nur im "dev"-package verwendet werden, die Klassen werden also nur bei aktivem Dev-Mode zur Entwicklungszeit verwendet.