Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 2 Nächste Version anzeigen »

Die Sicherheitslücke CVE-2022-3171 wird von Dependency-Checks bei allen Versionen des jadice web toolkit gefunden.

Herkunft

Die CVE kommt durch die Dependency protobuf-java in Version 2.5. Diese Dependency ist transitiv und landet durch gwt-servlet (alle Versionen) des Google Web Toolkit im Produkt.

Bewertung

False positive

Nach Analyse des GWT-Quellcodes und Sichtung der entsprechenden Issues des GWT-Projekts (siehe hier und hier) wird dieses CVE als nicht relevant für das jadice web toolkit eingestuft.

Hintergrund ist, dass in gwt-servlet die entsprechenden protobuf-Klassen nur im "dev"-package verwendet werden, die Klassen werden also nur bei aktivem Dev-Mode verwendet.

  • Keine Stichwörter