2025 年 2 月 27 日
CVE 修复 - 2025 年 2 月
今天,我们发布了 Quarkus 3.8 LTS 和 3.15 LTS 的 CVE 修复版本,以解决多个 CVE。
如果您正在使用这些版本和提及的组件,建议您进行更新。
这些 CVE 已在 Quarkus 3.19.1 中修复,因此如果您使用的是非 LTS 版本,请升级到 Quarkus 3.19.1(或者如果您使用的是旧版本,请升级到最接近的 LTS 版本)。
我们解决了以下 CVE
-
CVE-2025-24970 - 上游 Netty(仅适用于 3.15)
-
CVE-2025-1247 - Quarkus REST - 在未标记为请求作用域的 REST 资源中使用字段注入请求作用域元素可能会导致并发问题。
-
CVE-2024-12225 (禁运将很快解除) - WebAuthn - 回调端点默认启用。现在需要 显式配置。
-
CVE-2025-1634 (尚未发布) - RESTEasy Classic - RESTEasy Classic 端点可能会受到内存泄漏的影响。如果您使用
quarkus-resteasy扩展公开 REST 端点,强烈建议进行更新。Quarkus REST 不受此 CVE 的影响。
加入我们
我们非常重视您的反馈,所以请报告错误,提出改进建议…… 让我们一起构建伟大的东西!
如果您是 Quarkus 用户或只是好奇,请不要害羞,加入我们热情的社区
-
在 GitHub 上提供反馈;
-
编写一些代码并 推送 PR;
-
在 Stack Overflow 上提问。
