maven - 我在哪里可以找到 JSTL 版本 1.2.3 或更高版本？

我在我的应用程序中使用 jSTL-1.1.2 jar。 Veracode 显示使用此标记库的高漏洞。 Veracode 显示 1.2.3 之前的版本的漏洞。在我的研究过程中，我只能找到 1.2 版。这个 jar 有 1.2.3 版吗？或者我可以做些什么来修复此漏洞？

我有哪些选择？请提出建议。

我的 Maven 依赖项如下所示:

<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>jstl</artifactId>
    <version>1.1.2</version>
</dependency>

最佳答案

Maven 存储库显示 v.1.2 可用(2011 年 6 月 23 日):

<!-- https://mvnrepository.com/artifact/javax.servlet/jstl -->
<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>jstl</artifactId>
    <version>1.2</version>
</dependency>

此外，JSTL 已移至另一个位置，v.1.2(2015 年 5 月 14 日)

<!-- https://mvnrepository.com/artifact/javax.servlet.jsp.jstl/jstl -->
<dependency>
    <groupId>javax.servlet.jsp.jstl</groupId>
    <artifactId>jstl</artifactId>
    <version>1.2</version>
</dependency>

同样，Maven 存储库显示v.1.2.5 for taglibs可用:

<!-- https://mvnrepository.com/artifact/org.apache.taglibs/taglibs-standard-impl -->
<dependency>
    <groupId>org.apache.taglibs</groupId>
    <artifactId>taglibs-standard-impl</artifactId>
    <version>1.2.5</version>
</dependency>

因此，只有标签库可以更新到 v.1.2.5 以缓解 this vulnerability :

Affected versions of this package are vulnerable to XML External Entity (XXE) Injection. Apache Standard Taglibs before 1.2.3 allows remote attackers to execute arbitrary code or conduct external XML entity (XXE) attacks via a crafted XSLT extension in a <x:parse> or <x:transform> JSTL XML tag.

关于maven - 我在哪里可以找到 JSTL 版本 1.2.3 或更高版本？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/64597286/

maven - 我在哪里可以找到 JSTL 版本 1.2.3 或更高版本？

上一篇：golang 中的 sqlite3，foreign_keys pragma 不强制键

下一篇：php - 仅在 WooCommerce 管理员订单上显示自定义订单项元数据