CVE-2010至1807年vulnerablity（從Android的JSON）在春季啓動1.5.3

Question

當運行OWASP依賴檢查我得到報告以下問題（脆弱的依賴）

CWE: CVE-2010-1807 
CWE-20 Improper Input Validation  
Severity (CVSS): High (9.3) 
Dependency: android-json-0.0.20131108.vaadin1.jar 

我使用Spring 1.5啓動。 3。 做gradlew dependencies我看到android-json確實依賴春季啓動

+--- org.springframework.boot:spring-boot-configuration-processor: -> 1.5.3.RELEASE 
| \--- com.vaadin.external.google:android-json:0.0.20131108.vaadin1 

的如何檢查，如果這是假陽性或有效的問題？

編輯：此依賴項不在運行時使用。它只用於測試。

Answer 1

如果依賴項僅用於測試，那麼它應該沒問題。幾乎根據定義，測試不使用用戶輸入，並且通常不能在生產環境中運行。因此，測試中的漏洞或測試依賴性中的漏洞並不是真正的問題。我會聯繫Spring Boot開發人員，詢問爲什麼他們有一個潛在的易受攻擊的庫作爲依賴項，或者看看他們的GitHub issues。

Answer 2

這個問題是一個誤報。

如CVE，漏洞是在蘋果的WebKit這是在使用的Android 2.2之前描述：

的WebKit在Apple Safari 4.x的5.0.2 4.1.2之前和5.x之前; Android 2.2之前的版本;和1.2.6之前的webkitgtk;沒有正確驗證浮點數據，這允許遠程攻擊者通過與非標準NaN表示相關的精心製作的HTML文檔執行任意代碼或導致拒絕服務（應用程序崩潰）。

這看起來OWASP依賴檢查是錯誤地將android-json-0.0.20131108.vaadin1.jar標識爲Android的一部分。事實上，這個jar是一個無塵室實現，它與Android無關，除了最初由Android團隊開發之外。它當然不包含WebKit。