CVE-2023-20860 将组件 org.springframework:spring-webmvc 升级至 5.3.26 及以上版本

已于 2023-09-15 10:35:05 修改
阅读量2.4k 收藏 3
点赞数 1
分类专栏: 部署相关 文章标签: 安全 java
于 2023-09-14 17:48:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tabvla/article/details/132887257
版权

采用若依框架开发的系统,安全漏洞扫面显示spring当前版本为5.3.20,需升级至5.3.26+,系统pom.xml中并没有直接指明版本为5.3.20的依赖。

经查找系统中依赖设置是这个:

<dependency>
    <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-dependencies</artifactId>
    <version>2.5.14</version>
    <type>pom</type>
    <scope>import</scope>
</dependency>

打开https://mvnrepository.com/搜索spring-boot-dependencies,进入2.5.14版本

搜索5.3.20,如图

点击进入,确认Managed Dependencies里面包含需要升级的spring-webmvc

以上相同步骤进入spring-boot-dependencies的2.5.15版本,确定相关依赖将升级至5.3.27,满足安全漏洞需求,修改pom文件重新打包,问题解决

            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-dependencies</artifactId>
                <version>2.5.15</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
tabvla
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
springframework的一些配置
wuxifu001的专栏
07-12 967
web.xml       org.springframework.web.context.ContextLoaderListener       contextConfigLocation     classpath:applicationContext.xml
问题1-spring-boot版本org.springframeworkspring-web兼容的版本
weixin_53352737的博客
02-22 2307
检查你项目构建配置文件中的依赖项(例如 Maven 的 pom.xml 或 Gradle 的 build.gradle 文件),确保所有的 Spring Framework 依赖项都与兼容的版本对齐。: 如果你使用的是像 Maven 这样的构建工具,你可以排除那些可能会引入不兼容的 Spring Framework 类库版本的传递依赖项。按照以上步骤并确保你的应用程序的类路径包含 Spring Framework 所需的兼容类的版本,应该可以解决你遇到的“方法不存在”错误。这两个类的版本不兼容。
Spring——WEBMVC部分
Hjf73828的博客
07-13 680
目录--------------------------------------SpringWEB部分:--------------------------------------------------1、JavaWeb三大组件及环境特点:2、Spring整合Web:3、MVC框架思想、设计思路:--------------------------------------Spring-MVC:--------------------------------------------------1、请求处理
springCloud升级springweb问题
最新发布
qq_21526409的博客
05-20 1158
因为springboot-2.6.13已经不再维护了,直接从gateway的依赖里面去掉spring-web,然后重新引入spring-web-5.3.33会报一个错误。路径:/opt/gateway-0.0.1-SNAPSHOT.jar(BOOT-INF/lib/spring-web-5.3.23.jar)项目之前使用的时候springgboot-2.6.13,gateway-3.1.4。软件:spring-web(jar) 5.3.23。解决办法就是要升级spring-web版本
身份验证绕过漏洞(CVE-2023-20860
zkaqlaoniao的博客
10-13 1912
Spring官方发布了Spring Framework 身份认证绕过漏洞(CVE-2023-20860),当Spring Security使用mvcRequestMatcher配置并将**作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。
spring-webmvc报错
qq_45762477的博客
06-20 1065
记录一次报错 场景: 写springmvc项目过程中网页报500错误 环境: spring-webmvc:5.0 jdk:14.0 报错信息 Caused by: org.springframework.core.NestedIOException: ASM ClassReader failed to parse class file - probably due to a new Java class file version that isn't supported yet: file [E:\1I
Spring (MVC) 4.3.7 Mybatis3.4.2 (最新版本)整合详细介绍
xiudongxu的博客
03-22 887
首先当然是maven pom文件了&lt;properties&gt; &lt;!-- spring版本号 --&gt; &lt;spring.version&gt;4.3.7.RELEASE&lt;/spring.version&gt; &lt;!-- log4j日志文件管理包版本 --&gt; &lt;slf4j.version&...
springMVC版本错误问题
qq_38765867的博客
01-16 1414
javax.servlet.ServletException: Servlet.init() for servlet [springmvc] threw exception Allocate exception for servlet [springmvc] java.lang.IllegalArgumentException at org.springframework.asm.ClassR
spring 版本问题
weixin_39041673的博客
05-26 2619
记录spring版本问题,说一下我的问题,主要是由于父子项目问题,子项目引用父项目,父中设置的spring版本过高,导致子项目中无法覆盖,如果父项目中设置了spring版本,而子项目中未设置,则使用父项目中设置的spring版本,如果子项目要使用高版本spring则会去覆盖父项目中的低版本spring。也就是说高版本容易覆盖低版本,但是低版本不容易覆盖高版本版本容易覆盖低版本。 [INFO ] [18:50:08] org.springframework.web.context.Co...
Spring Framework最新版本 spring-webmvc-5.2.9.RELEASE
10-13
避免可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
spring最新版本下载地址
02-19
spring官网改版后 download不提供zip包下载,必须用maven了,想下载最新还得学maven,对我朝用户苦逼之级,现发现一个网址可以下载最新版本,故共享出来,要1分资源分的目的是想让大家下载后评论下 谢谢
spring web server 开发需要的所有包。4.35版本
10-29
spring-aop-4.3.5.RELEASE.jar spring-aspects-4.3.5.RELEASE.jar spring-beans-4.3.5.RELEASE.jar spring-context-4.3.5.RELEASE.jar spring-context-support-4.3.5.RELEASE.jar spring-core-4.3.5.RELEASE.jar spring-expression-4.3.5.RELEASE.jar spring-instrument-4.3.5.RELEASE.jar spring-instrument-tomcat-4.3.5.RELEASE.jar spring-jdbc-4.3.5.RELEASE.jar spring-jms-4.3.5.RELEASE.jar spring-messaging-4.3.5.RELEASE.jar spring-orm-4.3.5.RELEASE.jar spring-oxm-4.3.5.RELEASE.jar spring-test-4.3.5.RELEASE.jar spring-tx-4.3.5.RELEASE.jar spring-web-4.3.5.RELEASE.jar spring-webmvc-4.3.5.RELEASE.jar spring-webmvc-portlet-4.3.5.RELEASE.jar spring-websocket-4.3.5.RELEASE.jar
SpringBoot 2.2.4版本导入不了org.springframework.web
01-20
自己在使用spring-boot-starter-parent2.2.4版本时,发现好多注解用不了 最后发现2.2.4版本springboot导入的是5.2.3版本spring-web的jar包,而且idea解压不了,用Bandizip也不行。 换成springboot2.1.6,1.5.9版本都可以 不知道是自己下载的时候的问题,还是5.2.3jar包的问题。 发现5.2.3版本的jar包是今年一月份发布的,个人猜测,可能这jar包有问题吧?>_< 我又找到解决办法了。首先,找到那个打不开的jar包,可能是下载时出现问题。然后在本地的maven仓库删除那个文件夹,更新mav
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2023-32315-Openfire-Bypass-main.zip
07-17
**Openfire 漏洞详解:CVE-2023-32315** Openfire 是一款基于 Java 的开源即时通讯服务器,它允许企业构建实时、安全的通信网络。然而,任何软件都有可能存在的安全漏洞,这正是 CVE-2023-32315 的关注点。这个安全...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
OpenSSH 9.5p1是一个重要的安全更新版本,它修复了包括CVE-2023-38408在内的多个安全隐患。升级过程通常包括以下几个关键步骤: 1. **检查当前版本**:首先,你需要确定当前OpenSSH服务器的版本。在命令行中输入`...
Spring 5.0全览
hyWang94
10-19 405
一、简化开发的基本策略: 1.基于POJO的轻量级和最小侵入性编程 2.通过依赖注入和面向接口松耦合 3.基于切面和惯性进行声明式编程 4.通过切面和模板减少样板式代码 二、模块划分 1.核心模块 spring-core 依赖注入IOC与DI的最基本实现 spring-beans Bean工厂与Bean的装配 spring-context 定义基础...
spring CVE-2023-20860
08-24
对不起,我无法直接提供关于CVE-2023-20860的详细信息,因为我无法直接访问外部网络或数据库。然而,作为一个开发者,我可以告诉您如何查找关于该漏洞的更多信息。 首先,您可以在CVE数据库(https://cve.mitre.org/)上搜索CVE-2023-20860来了解该漏洞的详细信息。CVE数据库是一个公共数据库,用于记录和跟踪各种计算机安全漏洞。 另外,您也可以在Spring框架的官方网站(https://spring.io/)或Spring社区的论坛上寻找与该漏洞相关的公告或讨论。Spring框架通常会发布安全公告,其中包含有关已知漏洞的信息以及建议的修复方法。 请记住,在处理安全漏洞时,始终建议及时更新您使用的软件版本,并采取适当的安全措施来保护您的应用程序和系统免受潜在攻击。如果您遇到了特定的问题或需要更深入的帮助,请提供更多上下文信息,我将尽力帮助您。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值