springboot3.0.0通过dependency-check检测,需要修复依赖jar的CVE

Blade 未结 3 238
183542656
183542656 剑圣 2022-07-19 08:43

一、该问题的重现步骤是什么?

1. 

2. 

3.


二、你期待的结果是什么?实际看到的又是什么?


期望通过dependency-check检测没有CVE漏洞,实际有漏洞


三、你正在使用的是什么产品,什么版本?在什么操作系统上?


bladex   spring boot3.0.0 版本  ,在linux系统上


四、请提供详细的错误堆栈信息,这很重要。

漏洞.png

漏洞2.png

五、若有更多详细信息,请在下面提供。

3条回答
  • 2022-07-19 11:20

    依赖已经最新,没法再升级了,比如springboot2.7.1和mybatis-plus 3.5.2都是近期才发的版本

    0 讨论(0)
  • 2022-07-19 15:01

    第三方的有cve漏洞的依赖,后续会修复么

    0 讨论(0)
  • 我仔细核实了一下 都是老版本早就修复的bug了 好多误报

    0 讨论(1)
提交回复