[漏洞报告] Rocketmq 5.3.0最新版本中有tomcat-embed-core-8.5.46.jar 存在漏洞

[leon8693]

Is Your Feature Request Related to a Problem?

公司安全扫描出Rocketmq 5.3.0 最新版本中有tomcat-embed-core-8.5.46.jar 属于漏洞范围
详细信息如下
tomcat-embed-core
安装包路径:
/home/rocketmq/rocketmq-5.3.0/lib/tomcat-embed-core-8.5.46.jar
当前版本:
8.5.46
存在漏洞版本:

=8.5.7，<8.5.64
修复版本:
8.5.64
参考链接
https://avd.aliyun.com/detail?id=AVD-2024-21733

现在用的是 apache/rocketmq:5.3.0 镜像
但是在 rocketmq-all-5.3.0-bin-release.zip 文件中
同样存在

Describe the Solution You'd Like

希望临时和永久的解决办法

1. 有什么办法临时解决
2. 能否下个版本固定升级到无漏洞版本

Describe Alternatives You've Considered

我暂时没办法

Additional Context

No response

[yuz10]

+- io.jaegertracing:jaeger-thrift:jar:1.6.0:compile
| - org.apache.thrift:libthrift:jar:0.14.1:compile
| +- org.apache.tomcat.embed:tomcat-embed-core:jar:8.5.46:compile
| | - org.apache.tomcat:tomcat-annotations-api:jar:8.5.46:compile
| - javax.annotation:javax.annotation-api:jar:1.3.2:compile

[leizhiyuan]

这个maven依赖看着是测试module使用的，临时可以在lib中移除这个jar即可，不会影响功能，后续升级之后，项目中不会再存在。
This maven dependency looks like it is used by the test module, and this jar can be removed from the lib temporarily, which will not affect the function, and will no longer exist in the project after subsequent upgrades

[leon8693]

测试过,可以,谢谢~