引用的三方组件已经升级到最新版本,仍然提醒存在安全风险,如何快速解决—— kaptcha 安全漏洞

最新推荐文章于 2025-03-14 09:36:06 发布
原创 最新推荐文章于 2025-03-14 09:36:06 发布 · 2.2k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全 #github #网络安全 #spring #java
虽然将 kaptcha 组件升级到最新版本2.3.2,但其安全漏洞(CVSS 9.8)仍未解决。由于官方未发布修复版本,建议用户转用 pro.fessional:kaptcha 2.3.3 或自行打包修复。可通过 oscs 社区寻找专业解决方案和在线检测。

近期有很多小伙伴问了个相同的问题:引用的组件已经是最新版本了,检测还是有漏洞,这样的只能换依赖了吗...

拿 kaptcha 安全漏洞举例:

kaptcha 是个图形验证码的库,使用该组件的人数也非常多,搜 “spring 验证码”,前几篇文章里面就有人在教如何使用这个组件(2022年的文章),国内star比较多的项目同样也在用。

这个漏洞简单来说就是生成验证码的随机函数不够安全,可以相对低成本的破解。该组件风险程度较高,CVSS 评分达9.8,建议使用该组件的项目及研发小伙伴尽快修复该组件。

 

在找解决方案的时候发现,官方没有发布修复后的版本,最新版本就是2.3.2。而GitHub也提示了这个漏洞,也有人去官方仓库下面问,但是没有找到官方修复方案。

有意思的是,18年作者在GitHub上修了,然后没更新maven仓库。而解决方案可以考虑换成pro.fessional:kaptcha 2.3.3版本,或者自己打包一下kaptcha。

 

推荐通过 oscs 社区来快速搜索专业的解决方案

1、漏洞库地址:https://www.oscs1024.com/hl

2、搜索相关漏洞的解决方案

 

3、查看解决方案/进行免费在线检测

参考链接

https://www.oscs1024.com/hd/MPS-2018-13971

https://mvnrepository.com/artifact/com.github.penggle/kaptcha

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1111

Kaptcha近期成熟版本
01-08
Kaptcha是一个基于SimpleCaptcha的验证码开源项目。 https://code.google.com/p/kaptcha/w/list
SpringBoot集成kaptcha验证码
08-27
主要为大家详细介绍了SpringBoot集成kaptcha验证码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot+kaptcha生成数学运算验证码和字符验证码
想吃凤梨酥的博客
05-09 978
使用以下代码只需要复制粘贴,修改一处文本生成器路径即可,文中有交代。 添加kaptcha依赖 <dependency> <groupId>com.github.penggle</groupId> <artifactId>kaptcha</artifactId> <version>2.3.2</version> </dependency> 编写验证码文本生成器,为了给数据运算验证码
Kaptcha安全漏洞CVE-2018-18531解决方案
qq_42859690的博客
01-25 9454
Kaptcha安全漏洞CVE-2018-18531解决方案
ruoyi验证码kaptcha包高危漏洞
攻城狮的博客
04-08 915
客户现场扫描除了kaptcha生成验证码的高危漏洞,又不想引入其他生成验证码包避免上线麻烦,又要安全检查等扫描,那就最好手撸验证码出来。
【超危漏洞】ruoyi 验证码kaptcha
weixin_43652507的博客
09-10 1382
【超危漏洞】ruoyi 框架验证码kaptcha包, 使用自带jdk完成漏洞修复。
kaptcha验证码组件用法
坚持学习永不言弃
09-21 669
kaptcha验证码组件用法
kaptcha-2.3.2.zip:深入探索图形验证码开源项目
weixin_42601134的博客
10-27 1178
本文还有配套的精品资源,点击获取 简介:kaptcha-2.3.2.zip是一个用于生成图形验证码的开源项目库,它提供高效的集成解决方案。该项目包含多种jar包以适应不同Java环境,并附有详细的文档、源代码和API文档,支持Web服务部署。学习和使用kaptcha可以帮助开发者深入了解验证码技术并提升Java编程能力,同时也为网站提供安全保障。 1. 开源图形验...
Java后端开发中验证码的实现以及Kaptcha类的详细配置介绍
qq_24251607的博客
03-26 7133
验证码的本质是{id, key, value}的形式,对于不同的目标提供不同的子集内容,借助Redis的过期时间可以很好的管理验证码的有效时间。除此之外,也可以在Controller中自行设计Map容器用于代替Redis。思路如下:Map的Key仍为uuid的某种形式,Value则封装POJO。// 有效期3分钟 endTime . setTime(createTime . getTime() + 1000 * 60 * 3);} }
图片验证码-kaptcha-google
ringBey的博客
03-31 689
springboot集成谷歌图片验证,图片验证码-kaptcha-google。
java验证码组件kaptcha使用方法
09-04
主要介绍了java验证码组件kaptcha使用方法,很不错的一个组件,可以在JAVA开发中使用,大家都试试吧
SpringBoot集成kaptcha实现数字计算验证码和字母验证码功能
liuxiangheguoyan的博客
03-15 1208
【代码】SpringBoot集成kaptcha实现数字计算验证码和字母验证码功能。
maven安装依赖失败的问题:Kaptcha
m0_46198325的博客
06-14 1322
首先我的原意是想从maven仓库中下载一个Kaptcha玩玩,然后去搜索了一些,发现前面最多人使用的验证码居然有依赖漏洞,然后又重新查找了,结果找到一个谷歌出品的验证码框架,但是人家牛逼大气,没有上传到maven的中央仓库,所有通过常规的pom文件导入依赖下载是无法使用的: 代码下载网站 pom文件引用 <!-- https://mvnrepository.com/artifact/com.google.code.kaptcha/kaptcha --> <dependency>
验证码 kaptcha redis
qq56477643的博客
01-19 535
验证码
Maven - 解决无法安装 Kaptcha 依赖的问题
qq_37131747的博客
04-12 1024
3.查找自己的maven本地仓库的位置,根据验证码的pom文件的引用地址新建文件夹,比如说:com.google.code.kaptcha,那就在${maven_direction}/com/google/code/kaptcha,其中maven_direction是maven的本地仓库地址,一直查找文件夹,不存在那就创建名字一样的文件夹,这里看到Kaptcha的版本是2.3.0,改为2.3.2 ,验证码框架,没有上传到maven的中央仓库,所有通过常规的pom文件导入依赖下载是无法使用的。
Google验证码jar包 kaptcha2.3.2(永久有效)
weixin_41234121的博客
09-15 2033
链接地址:百度网盘链接 提取码:1024 若是帮助到您,希望可以点赞~ 谢谢您了。
SpringBoot中使用kaptcha生成验证码
最新发布
qq_31906861的博客
03-14 1200
kaptcha是谷歌开源的简单实用的验证码生成工具。通过设置参数,可以自定义验证码大小、颜色、显示的字符等等。
开源组件风险修复,升级版本就够了吗?
热门推荐
cenlois的博客
03-12 1万+
通常情况下开源组件风险的修复建议是升级版本。但是这样就够了么?近日,开源安全研究院研究员发现了风险修复里一些很有意思的点。 1.开源安全研究院先是对MeterSphere的1.18.0版本进行了开源组件的安全检测发现了存在风险并向MeterSphere提出了修复的建议,MeterSphere也对此表示了感谢。 2.随后绿盟发现MeterSphere开源持续测试平台的三处漏洞并上报,MeterSphere对此表示了感谢并且升级版本为1.18.1。 3.这时开源安全研究院开始思考为何最初...
开源软件漏洞升级步骤
weixin_43012300的博客
07-22 1772
开源软件漏洞检测并升级步骤
高风险组件漏洞及修复办法「持续补充更新」
背锅神童的博客
09-18 5494
漏洞、漏洞修复、系统漏洞、权限提升漏洞、本地权限提升、注入漏洞、反序列化漏洞、身份认证绕过漏洞、远程代码执行漏洞、系列漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值