XStream漏洞升级版本

1、场景，投产漏洞扫描修复

2、修复建议

针对使用到 XStream 组件的 web 服务升级至最新版本：http://x-stream.github.io/changes.html

受影响的版本：
XStream <= 1.4.17

安全版本：
XStream >= 1.4.18

3、修复代码
（1）查找依赖在那个pom.xml引入的，在pom.xml里没找到可以在 idea tearminal 中执行maven命令查找

mvn dependency:tree -Dincludes=com.thoughtworks.xstream

（2）排除spring-cloud-starter-netflix-eureka-client包里的子依赖，然后单独引入xstream版本

    <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>com.thoughtworks.xstream</groupId>
                    <artifactId>xstream</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <!--XStream 高危漏洞修复-->
            <dependency>
                <groupId>com.thoughtworks.xstream</groupId>
                <artifactId>xstream</artifactId>
                <version>1.4.19</version>
            </dependency>

4、可以看到打完包后的应用服务jar包里XStream包已经升级为1.4.19，漏洞修复完成

原文地址：https://blog.csdn.net/yuchenai/article/details/142789209

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！