java XStream更新

原创

onejson 2023-06-13 14:53:30 博主文章分类：idea ©著作权

文章标签 java idea ci spring ide 文章分类 HarmonyOS 后端开发

©著作权归作者所有：来自51CTO博客作者onejson的原创作品，请联系作者获取转载授权，否则将追究法律责任

漏洞详情
XStream 是一个常用的 Java 对象和 XML 相互转换的工具。近日 XStream 官方发布安全更新，修复了高危和严重漏洞如下：

Version 1.4.17
CVE-2021-39139 任意代码执行漏洞
CVE-2021-39140 可能导致拒绝服务
CVE-2021-39141 任意代码执行漏洞
CVE-2021-39144 远程命令执行漏洞
CVE-2021-39145 任意代码执行漏洞
CVE-2021-39146 任意代码执行漏洞
CVE-2021-39147 任意代码执行漏洞
CVE-2021-39148 任意代码执行漏洞
CVE-2021-39149 任意代码执行漏洞
CVE-2021-39150 SSRF漏洞（服务端请求伪造漏洞）
CVE-2021-39151 任意代码执行漏洞
CVE-2021-39152 SSRF漏洞（服务端请求伪造漏洞）
CVE-2021-39153 任意代码执行漏洞
CVE-2021-39154 任意代码执行漏洞

打算把 XStream升级到1.4.18

下载链接
http://x-stream.github.io/download.html

在idea中全文件搜索xstream中没有搜索到，可以在 idea tearminal 中执行命令，查找对应的依赖

mvn dependency:tree

我这边是根据阿里云漏洞提示的微服务模块，去对应的 pom下，利用 maven helper 插件查找到的，spring-cloud-starter-eureka依赖下的子依赖 XStream

<dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>com.thoughtworks.xstream</groupId>
                    <artifactId>xstream</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

这里我们在这边利用 exclusion 排除 spring-cloud-starter-netflix-eureka-client 的子依赖，然后再单独引入下即可

<dependency>
            <groupId>com.thoughtworks.xstream</groupId>
            <artifactId>xstream</artifactId>
            <version>1.4.19</version>
   </dependency>

重新打包上传，完美解决