doris(2.1.10)
将 Spring 升级到 5.3.41、6.0.25、6.1.14 及以上版本。
当前fe依赖版本
<spring.version>2.7.18</spring.version>
<spring-framework.version>5.3.39</spring-framework.version>
doris manager(24.3.1)同样有依赖漏洞问题
- 将 Spring Boot 升级到 2.5.15、2.6.15、2.7.11、3.0.6
- 将 Tomcat 升级到 9.0.99、10.1.35、11.0.3 及以上版本
- 将 Spring 升级到 5.3.41、6.0.25、6.1.14 及以上版本
| 漏洞名称 | 漏洞类型 | 漏洞描述 | 修复建议 | 验证信息 | 参考信息 |
|---|---|---|---|---|---|
| Tomcat 远程代码执行漏洞(CVE-2025-24813) | 代码执行 | SpringBoot项目包路径:doris-manager/deps/webui/lib/doris-webui.jar ,SpringBoot子包名称:tomcat-embed-core-9.0.90.jar | CVE-2025-24813,CNVD-2025-04973,CWE-502,CWE-706,CNNVD-202503-1068 | ||
| Tomcat 安全漏洞(CVE-2024-52316) | 未授权访问 | SpringBoot项目包路径:doris-manager/deps/webui/lib/doris-webui.jar, SpringBoot子包名称:tomcat-embed-core-9.0.90.jar | CVE-2024-52316,,CWE-754,CNNVD-202411-2306 | ||
| Spring Boot 安全绕过漏洞(CVE-2023-20873) | 未授权访问 | SpringBoot项目包路径:doris-manager/deps/webui/lib/doris-webui.jar,SpringBoot子包名称:spring-boot-actuator-autoconfigure-2.6.3.jar | CVE-2023-20873,,CNNVD-202304-1732 | ||
| Spring Framework 路径遍历漏洞(CVE-2024-38819) | 目录遍历 | apache-doris/fe/lib/spring-webmvc-5.3.39.jar | CVE-2024-38819,, |
