XStream 代码问题(CVE-2021-21345)
修复方案
修复方案 目前厂商已发布升级补丁以修复漏洞,建议受影响的用户,及时升级至1.4.16及以上版本。 补丁获取链接:https://x-stream.github.io/download.html
参考链接
http://x-stream.github.io/changes.html#1.4.16
https://github.com/x-stream/xstream/security/advisories/GHSA-hwpc-8xqv-jvj4
https://x-stream.github.io/CVE-2021-21345.html
方案一:
1、在idea中全文件搜索xstream中没有搜索到,可以在 idea tearminal 中执行命令,查找对应的依赖
mvn dependency:tree
2、官方建议升级版本>=1.4.16
3、升级版本
4、Reload Maven Projects后再次在idea tearminal 中执行命令mvn dependency:tree
xstream:jar:1.4.20 >= 官方建议升级版本1.4.16
最后重新发布程序即可
方案二:
这里我们在这边利用 exclusion 排除weixin-java-mp的子依赖,然后再单独引入指定版本的xstream即可