@Amadora

Действительно ли в PlantUML есть дыры по безопасности?

Хотел в своей компании установить безобидный плагин PlantUML для конфлюенс, но он был отклонён сб с критичными замечаниями:
1. Небезопасная собственная реализация ssl (пустой метод)
2. Нет проверки хоста сертификата
3. Отраженный межсайтовый скриптинг

Я в безопасности не особо силен, вопросы:
1. Как можно самостоятельно протестировать плагин на эти уязвимости?
2. Не избыточны ли они? Смущает, что плагин довольно популярный и вот столько критичных уязвимостей (и сотни не критичных)
  • Вопрос задан
  • 18 просмотров
Пригласить эксперта
Ответы на вопрос 2
Zoominger
@Zoominger
System Engineer
PlantUML — проект с открытым кодом

Значит, дыры есть и быстро их никто не пофиксит.

Смущает, что плагин довольно популярный

Лол, регулярно вижу новости про дыры в Woocommerce или плагинах для WP, это норма для веба.
Ответ написан
Oxyd
@Oxyd
Linux enthusiast
Сдаётся мне что безопасники несут какую-то дичь. Ибо на всю confluence есть чуть менее 40 CVE за всё время и plantuml не указан ни в одной.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы