背景

我開源的一個項目中，有朋友提到存在Spring Framework 身份認(rèn)證繞過漏洞(CVE-2023-20860)。
解決方案是升級spring 框架版本：

• Spring Framework 5.3.X 系列用戶建議升級Spring Framework到5.3.26及以上安全版本修復(fù)該漏洞
• Spring Framework 6.0.X 系列用戶建議升級Spring Framework到6.0.7及以上安全版本修復(fù)該漏洞

主要受影響的版本如下：

• 6.0.0 to 6.0.6
• 5.3.0 to 5.3.25
  我看了下，項目中依賴的spring boot版本如下：

        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.4.10</version>

嘗試2.4.x的其它幾個版本，發(fā)現(xiàn)其依賴的spring框架都是5.3.x，也不敢冒然升級spring boot大版本，所以考慮只升級依賴的spring 框架.

解決方案

在網(wǎng)上搜了下，沒找到想要的解決方案，最后只能自己想辦法。
我認(rèn)為spring boot依賴肯定定義了sping 的版本屬性，遵循maven就近原則，我只要在項目中覆蓋這個變量就可以達(dá)到預(yù)期。
然后一級一級往上找，最后在spring-boot-dependencies的定義里找到了：

然后直接在我自己的項目的pom.xml里重新定義這個屬性，問題解決：

項目的實(shí)際依賴的jar包版本已經(jīng)是5.3.26: