Play framework 2.8.2 запускает сканер SBT OWASP для vuln CVE-2015-2156, исправленный в 2.3.9
У меня есть приложение Play Framework Scala с версией 2.8.2 (текущая)
Когда я запускаю сканер OWASP с https://github.com/albuch/sbt-dependency-check (версия 2.0.0), он отмечает следующий CVE, который, по-видимому, был исправлен в Play 2.3.9:
https://nvd.nist.gov/vuln/detail/CVE-2015-2156
Эта уязвимость на самом деле не исправлена в текущей игре? Или сканер уязвимостей каким-то образом неправильно настроен? Как исправить?
Соответствующий раздел в отчете о зависимостях выглядит так:
shaded-oauth-2.1.2.jar
...
Identifiers
pkg:maven/com.typesafe.play/shaded-oauth@2.1.2 (Confidence:High)
cpe:2.3:a:playframework:play_framework:2.1.2:*:*:*:*:*:*:* (Confidence:Highest)
Путь к этому депу в моем дереве зависимостей проекта выглядит так:
[info] com.example:my-app_2.12:1.0-SNAPSHOT [S]
[info] +-com.typesafe.play:filters-helpers_2.12:2.8.2
[info] +-com.typesafe.play:play-ahc-ws_2.12:2.8.2
[info] | +-com.typesafe.play:play-ahc-ws-standalone_2.12:2.1.2
[info] | | |
[info] | | +-com.typesafe.play:shaded-oauth:2.1.2
Я заметил, что play-ahc-ws 2.8.2 действительно зависит от нескольких игровых библиотек с версией 2.1.2, см. Здесь: https://mvnrepository.com/artifact/com.typesafe.play/play-ahc-ws_2.13/2.8.2, включая https://mvnrepository.com/artifact/com.typesafe.play/play-ahc-ws-standalone_2.13/2.1.2 этих библиотек нет опубликованных версий, более поздних, чем 2.1.2.