如何修复selenium中的漏洞(CVE-2022-34169)：How单元驱动程序:3.62.0。它来自Xalan ? 2.7.2，是一个直接的漏洞。

Question

如何修复selenium中的漏洞(CVE-2022-34169)：How单元驱动程序:3.62.0。它来自Xalan ? 2.7.2，是一个直接的漏洞。

我们在空手道框架中使用org.seleniumhq.selenium:htmlunit-driver:3.62.0。Whitesource扫描正在捕获来自xalan的漏洞

2.7.2是Xalan的最新版本，我们没有任何更新的版本。有办法解决吗？

如能提供任何帮助，将不胜感激。

Answer 1

据我所知，目前还没有特定的修补程序可供使用，但您可以尝试使用不同版本的selenium:htmlunit-driver来减轻漏洞。

注意:对于即将退役的Apache项目，不期望有固定的版本。由于此包在处理恶意XSLT样式表时易受任意代码执行的攻击，因此存在整数截断问题。这将允许攻击者破坏内部XSLTC编译器生成的Java类文件，并执行任意Java字节码。因此，您可以考虑使用Apache Santuario和interSystem IRIS这样的替代方案，后者是最好的选择。