Задать вопрос
@Amadora

Действительно ли в PlantUML есть дыры по безопасности?

Хотел в своей компании установить безобидный плагин PlantUML для конфлюенс, но он был отклонён сб с критичными замечаниями:
1. Небезопасная собственная реализация ssl (пустой метод)
2. Нет проверки хоста сертификата
3. Отраженный межсайтовый скриптинг

Я в безопасности не особо силен, вопросы:
1. Как можно самостоятельно протестировать плагин на эти уязвимости?
2. Не избыточны ли они? Смущает, что плагин довольно популярный и вот столько критичных уязвимостей (и сотни не критичных)
  • Вопрос задан
  • 51 просмотр
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
Oxyd
@Oxyd
Linux enthusiast
Сдаётся мне что безопасники несут какую-то дичь. Ибо на всю confluence есть чуть менее 40 CVE за всё время и plantuml не указан ни в одной.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы