jar升级解决安全漏洞与 maven的jar包版本的依赖关系

小鱼儿 2022-10-15 09:58 29阅读 0赞

今天被告知系统存在安全漏洞，需要解决下，记录下过程。

### 漏洞说明 ###

说明：mybatis 在3.5.6以下的版本存在CVE-2020-26945漏洞，所以需要进行升级  
但是我们的项目是springboot项目，通过mybatis-spring-boot-starter引入的mybatis，所以就需要知道把mybatis-spring-boot-starter的版本调整到什么级别，以及和mybatis版本之间的依赖关系。

mybatis 3.5.6解决了该漏洞

但是项目是springboot项目，引入的是  
 <mybatis-spring-boot.version>2.1.4</mybatis-spring-boot.version>

<dependency>  
    <groupId>org.mybatis.spring.boot</groupId>  
    <artifactId>mybatis-spring-boot-starter</artifactId>  
    <version>$\{mybatis-spring-boot.version\}</version>  
</dependency>

### maven报版本关系梳理 ###

进入maven官网：百度搜索maven repository ，第一个进入就是，如下图：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2gyNjA0Mzk2NzM5_size_16_color_FFFFFF_t_70][]

在搜索框输入artifactId，如mybatis-spring-boot-starter

点击进入对应版本即可获取相关的依赖，如下图：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2gyNjA0Mzk2NzM5_size_16_color_FFFFFF_t_70 1][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2gyNjA0Mzk2NzM5_size_16_color_FFFFFF_t_70 2][]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2gyNjA0Mzk2NzM5_size_16_color_FFFFFF_t_70]: /images/20221014/bf4564828e6649babbc308abefa7fc55.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2gyNjA0Mzk2NzM5_size_16_color_FFFFFF_t_70 1]: /images/20221014/61ef286f9010492eaf62fd38033cd4c8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2gyNjA0Mzk2NzM5_size_16_color_FFFFFF_t_70 2]: /images/20221014/f4f6425644a24b5caecbc3f331d6a571.png