风险组件已经升级到最新版本，仍然提示风险，如何快速解决——kaptcha 安全漏洞

近期有很多小伙伴问了个相同的问题，风险组件已经是最新版本了，检测还是有漏洞，怎么能快速解决呢...

拿 kaptcha 安全漏洞举例

kaptcha 是个图形验证码的库，使用该组件的人数也非常多，搜 “spring 验证码”，前几篇文章里面就有人在教如何使用这个组件（2022 年的文章），国内 star 比较多的项目同样也在用。

这个漏洞简单来说就是生成验证码的随机函数不够安全，可以相对低成本的破解。该组件风险程度较高，CVSS 评分达 9.8，建议使用该组件的项目及研发小伙伴尽快修复该组件。

kaptcha 修复方案

在找解决方案的时候发现，官方没有发布修复后的版本，最新版本就是 2.3.2。而 GitHub 也提示了这个漏洞，也有人去官方仓库下面问，但是没有找到官方修复方案。

有意思的是，18 年作者在 GitHub 上修了，然后没更新 maven 仓库。而解决方案可以考虑换成 pro.fessional:kaptcha 2.3.3 版本，或者自己打包一下 kaptcha。

推荐通过 oscs 社区来快速搜索专业的解决方案

1、漏洞库地址：https://www.oscs1024.com/hl

2、搜索相关漏洞的解决方案：

3、查看解决方案/进行免费在线检测

参考链接

https://www.oscs1024.com/hd/MPS-2018-13971

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1111