1、场景,投产漏洞扫描修复
2、修复建议
针对使用到 XStream 组件的 web 服务升级至最新版本:http://x-stream.github.io/changes.html
受影响的版本:
XStream <= 1.4.17
安全版本:
XStream >= 1.4.18
3、修复代码
(1)查找依赖在那个pom.xml引入的,在pom.xml里没找到可以在 idea tearminal 中执行maven命令查找
mvn dependency:tree -Dincludes=com.thoughtworks.xstream
(2)排除spring-cloud-starter-netflix-eureka-client包里的子依赖,然后单独引入xstream版本
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
<exclusions>
<exclusion>
<groupId>com.thoughtworks.xstream</groupId>
<artifactId>xstream</artifactId>
</exclusion>
</exclusions>
</dependency>
<!--XStream 高危漏洞修复-->
<dependency>
<groupId>com.thoughtworks.xstream</groupId>
<artifactId>xstream</artifactId>
<version>1.4.19</version>
</dependency>
4、可以看到打完包后的应用服务jar包里XStream包已经升级为1.4.19,漏洞修复完成