采用若依框架开发的系统,安全漏洞扫面显示spring当前版本为5.3.20,需升级至5.3.26+,系统pom.xml中并没有直接指明版本为5.3.20的依赖。
经查找系统中依赖设置是这个:
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-dependencies</artifactId> <version>2.5.14</version> <type>pom</type> <scope>import</scope></dependency>打开https://mvnrepository.com/搜索spring-boot-dependencies,进入2.5.14版本
搜索5.3.20,如图
点击进入,确认Managed Dependencies里面包含需要升级的spring-webmvc
以上相同步骤进入spring-boot-dependencies的2.5.15版本,确定相关依赖将升级至5.3.27,满足安全漏洞需求,修改pom文件重新打包,问题解决
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-dependencies</artifactId> <version>2.5.15</version> <type>pom</type> <scope>import</scope> </dependency>
