我想修复报告中的 CVE-2020-7692 com.google.apis:google-api-services-drive:v2-rev362-1.25.0 此 CVE 来自 com.google.oauth-client_google-oauth-client。 如果我只像下面这样升级 oauth-client 库可以吗?
implementation ('com.google.apis:google-api-services-drive:v2-rev362-1.25.0') { exclude group: 'com.google.oauth-client', module: 'google-oauth-client' } implementation 'com.google.oauth-client:google-oauth-client:1.33.3'
我想知道仅通过升级 google-oauth-client 库来修复 CVE 是否安全。
此 CVE 也可以通过将 google-api-services-drive 升级到版本 v3 来修复,但这需要在后端服务上进行大量更改。由于 v2 版本中较早出现的类和方法已被弃用。
你能做的就是立即搜索漏洞。
https://nvd.nist.gov/vuln/detail/CVE-2020-7692
描述里写着
PKCE 支持未按照适用于本机应用程序的 OAuth 2.0 的 RFC 实现。如果不使用 PKCE,授权服务器返回的授权代码不足以保证发出初始授权请求的客户端就是将被授权的客户端。攻击者可以使用客户端的恶意应用程序获取授权码,并使用它来获得受保护资源的授权。这会影响 1.31.0.
之前的包 com.google.oauth-client:google-oauth-client文中指出易受攻击的版本是 1.31.0 之前的版本,这意味着您正在使用的版本 1.33.3 不再受到影响