我们公司的 Sonatype 扫描显示即使最新版本(当前版本为 5.2.3.RELEASE),Spring-Web 仍然存在漏洞。
扫描结果如下:
"发现安全漏洞 CVE-2016-1000027,风险评级为 9.8"。
我注意到 CVE-2016-1000027 已于 01/02/2020 加入了国家漏洞数据库,并且是关于以下问题的:
"如果用于反序列化不受信任的数据,Spring Framework 4.1.4 存在潜在的远程代码执行 (RCE) 问题"。
这是过时的漏洞信息还是在 4 年后仍未得到解决?