Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Die folgenden Sicherheitslücken werden von Dependency-Checks bei allen Versionen des jadice web toolkit < 5.12.1.15 gefunden:

  • CVE-2022-3171
  • CVE-2022-3510
  • CVE-2022-41881
  • CVE-2021-22569
  • CVE-2022-3509

...

Die CVEs kommen durch die Dependency protobuf-java in Version 2.5. Diese Dependency ist transitiv und landet durch gwt-servlet (alle Versionen) des Google Web Toolkit im Produkt.

Bewertung

False positive

Nach Analyse des GWT-Quellcodes und Sichtung der entsprechenden Issues des GWT-Projekts (siehe hier und hier) werden diese CVEs als nicht relevant für das jadice web toolkit eingestuft.

Hintergrund ist, dass in gwt-servlet die entsprechenden protobuf-Klassen nur im "dev"-package verwendet werden, die Klassen werden also nur bei aktivem Dev-Mode zur Entwicklungszeit verwendet.

Abhilfe

  • Migration auf jadice web toolkit >= 5.12.1.17 (verfügbar seit 02/2023)