MyBatis3.5.6版本之前 CVE-2020-26945漏洞解決

MyBatis 遠程代碼執(zhí)行漏洞(CVE-2020-26945), 3.5.6版本之前的MyBatis錯誤處理對象流的反序列化,攻擊者通過此漏洞可以觸發(fā)遠程代碼執(zhí)行。
【問題場景】項目沒有直接依賴mybatis,使用的mybatis-plus,由于mybatis-plus的下級依賴包含了mybatis的3.5.2版本,故有此問題。
【解決方案】修改pom文件,排除mybatis-plus下級依賴。直接新增對mybatis的3.5.6的依賴

         <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>${mybatisplus.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>com.baomidou</groupId>
                    <artifactId>mybatis-plus-generator</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.mybatis</groupId>
                    <artifactId>mybatis</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis</artifactId>
            <version>3.5.6</version>
        </dependency>
image.png
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

友情鏈接更多精彩內(nèi)容