CVE-2023-24163 不处理下吗? #3149
Labels
Comments
|
原文已经说了,Hutool只是表达式门面的封装,实际漏洞来自于aviator或任意第三方的表达式库。 作为门面无法做到修复。 |
|
PS: 6.0.0已经将整个ExpressUtil移除。 |
那是有其它的替代,还是说表达式计算ExpressionUtil以后都不支持了? |
|
@reixuemin 表达式计算很多实现库根本没有对注入的防护,因此删除后没有替代。 如果需要,考虑至今引用原生表达式库使用。 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
参考 murphysecurity/murphysec-jetbrains-plugin#15
The text was updated successfully, but these errors were encountered: