采用若依框架开发的系统,安全漏洞扫面显示spring当前版本为5.3.20,需升级至5.3.26+,系统pom.xml中并没有直接指明版本为5.3.20的依赖。
经查找系统中依赖设置是这个:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-dependencies</artifactId>
<version>2.5.14</version>
<type>pom</type>
<scope>import</scope>
</dependency>打开https://mvnrepository.***/搜索spring-boot-dependencies,进入2.5.14版本
搜索5.3.20,如图
点击进入,确认Managed Dependencies里面包含需要升级的spring-webmvc
以上相同步骤进入spring-boot-dependencies的2.5.15版本,确定相关依赖将升级至5.3.27,满足安全漏洞需求,修改pom文件重新打包,问题解决
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-dependencies</artifactId>
<version>2.5.15</version>
<type>pom</type>
<scope>import</scope>
</dependency>