MyBatis3.5.6版本之前 CVE-2020-26945漏洞解决

MyBatis 远程代码执行漏洞（CVE-2020-26945）， 3.5.6版本之前的MyBatis错误处理对象流的反序列化，攻击者通过此漏洞可以触发远程代码执行。
【问题场景】项目没有直接依赖mybatis，使用的mybatis-plus，由于mybatis-plus的下级依赖包含了mybatis的3.5.2版本，故有此问题。
【解决方案】修改pom文件，排除mybatis-plus下级依赖。直接新增对mybatis的3.5.6的依赖

         <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>${mybatisplus.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>com.baomidou</groupId>
                    <artifactId>mybatis-plus-generator</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.mybatis</groupId>
                    <artifactId>mybatis</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis</artifactId>
            <version>3.5.6</version>
        </dependency>

image.png

最后编辑于：2020.12.23 11:28:31

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成，浏览时请结合常识与多方信息审慎甄别。
平台声明：文章内容（如有图片或视频亦包括在内）由作者上传并发布，文章内容仅代表作者本人观点，简书系信息发布平台，仅提供信息存储服务。

MyBatis3.5.6版本之前 CVE-2020-26945漏洞解决

友情链接更多精彩内容