0

我有一个带有 Maven 的 Spring Boot 项目。特定服务的 POM.XML 如下所示:

    [...]
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-maven-plugin</artifactId>
    </dependency>
    <dependency>
      <groupId>org.codehaus.mojo</groupId>
      <artifactId>exec-maven-plugin</artifactId>
    </dependency>
 
   [...]

  <build>
    <plugins>
      <plugin>V
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-maven-plugin</artifactId>
        <version>${version.spring-boot-maven-plugin}</version>
        <executions>
          <execution>
            <goals>
              <goal>repackage</goal>
            </goals>
          </execution>
        </executions>
      </plugin>

     [...]

      <plugin>
        <groupId>org.codehaus.mojo</groupId>
        <artifactId>exec-maven-plugin</artifactId>
        <version>${version.org.codehaus.mojo}</version>
        <executions>
          <execution>
            <id>Run-SQL-create</id>
            <phase>process-classes</phase>
            <goals>
              <goal>java</goal>
            </goals>
          </execution>
        </executions>
        <configuration>
          <mainClass>[...].CreateSQLSeedingFile</mainClass>
          <arguments></arguments>
        </configuration>
      </plugin>
      <plugin>
        <groupId>org.apache.maven.plugins</groupId>
        <artifactId>maven-compiler-plugin</artifactId>
        <version>${version.maven-compiler-plugin}</version>
        <configuration>
          <source>11</source>
          <target>11</target>
          <annotationProcessorPaths>
            <path>
              <groupId>org.projectlombok</groupId>
              <artifactId>lombok-mapstruct-binding</artifactId>
              <version>${version.lombok-mapstruct-binding}</version>
            </path>
            <path>
              <groupId>org.mapstruct</groupId>
              <artifactId>mapstruct-processor</artifactId>
              <version>${version.mapstruct-processor}</version>
            </path>
            <path>
              <groupId>org.projectlombok</groupId>
              <artifactId>lombok</artifactId>
              <version>${version.org.projectlombok}</version>
            </path>
          </annotationProcessorPaths>
        </configuration>
      </plugin>
    </plugins>
  </build>
  [...] 

</project>

我运行 [dependency-check-maven] 来扫描漏洞。它发现CVE-2021-26291 使用mvn dependency:tree我发现它在它里面exec-maven-plugin 提到的细节中:

如果您当前正在使用存储库管理器来管理您的构建使用的存储库,那么您不会受到遗留行为中存在的风险的影响

但是我们没有存储库管理器(它只是一个小项目)。而且我无法升级版本,因为依赖项exec-maven-plugin已经是最新版本3.0.0

现在,当我完全删除依赖项时(甚至不确定我必须解决什么!)它在maven-core-3.1.1内部发现相同的漏洞spring-boot-maven-plugin 这里也是如此:它已经是最新版本2.6.2

有没有办法这个漏洞,而不使用存储库管理器?

4

0 回答 0