如何替换spring boot中spring框架的版本

背景

我开源的一个项目中,有朋友提到存在Spring Framework 身份认证绕过漏洞(CVE-2023-20860)
解决方案是升级spring 框架版本:

  • Spring Framework 5.3.X 系列用户建议升级Spring Framework到5.3.26及以上安全版本修复该漏洞
  • Spring Framework 6.0.X 系列用户建议升级Spring Framework到6.0.7及以上安全版本修复该漏洞

主要受影响的版本如下:

  • 6.0.0 to 6.0.6
  • 5.3.0 to 5.3.25
    我看了下,项目中依赖的spring boot版本如下:
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.4.10</version>

尝试2.4.x的其它几个版本,发现其依赖的spring框架都是5.3.x,也不敢冒然升级spring boot大版本,所以考虑只升级依赖的spring 框架.

解决方案

在网上搜了下,没找到想要的解决方案,最后只能自己想办法。
我认为spring boot依赖肯定定义了sping 的版本属性,遵循maven就近原则,我只要在项目中覆盖这个变量就可以达到预期。
然后一级一级往上找,最后在spring-boot-dependencies的定义里找到了:
在这里插入图片描述
然后直接在我自己的项目的pom.xml里重新定义这个属性,问题解决:
在这里插入图片描述
项目的实际依赖的jar包版本已经是5.3.26:
在这里插入图片描述

  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不识君的荒漠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值