项目服务器报了一个应用漏洞:Spring Framework 身份认证绕过漏洞(CVE-2023-20860) 。漏洞详情里提供了修复方法:

厂商已经发布安全修复版本修复该漏洞,参考链接:https://spring.io/security/cve-2023-20860
(1) Spring Framework 5.3.X 系列用户建议升级Spring Framework到5.3.26及以上安全版本修复该漏洞
(2) Spring Framework 6.0.X 系列用户建议升级Spring Framework到6.0.7及以上安全版本修复该漏洞

通过 mvn repository 中 spring boot,发现 spring boot 2 里面只有最新的 2.7.10 没有漏洞报警,其他的不管什么版本都附带了两到三个报警信息。也就是说我直接升级 spring boot 2 的版本不太容易实现,且 2.* 这也算是大的版本更新了,不确定兼容性。

所以最好的办法就是指定引入 spring framework 版本(通过 boot 依赖查询到当前引入的 framework 版本为 5.3.*):

    <properties>
        ...
        <spring-framework.version>5.3.26</spring-framework.version>
    </properties>

更新 maven 依赖,从外部库里可以看到 org.springframework:*:5.3.26,说明更新好了。