是否存在用于修复与org.apache.commons.beanutils.populate(bean,paramMap)相关的“ Bean操作”漏洞的推荐库?我试图编写一些自定义方法来验证paramMap,但这不能解决问题。
桑杰
以下重构似乎已从强化扫描中删除了该漏洞:
for(Map.Entry<String, ?> entry : fields.entrySet()) {
BeanUtils.setProperty(object, entry.getKey(), entry.getValue());
}