jar升级解决安全漏洞 与 maven的jar包版本的依赖关系

今天被告知系统存在安全漏洞，需要解决下，记录下过程。

漏洞说明

说明：mybatis 在3.5.6以下的版本存在CVE-2020-26945漏洞，所以需要进行升级
但是我们的项目是springboot项目，通过mybatis-spring-boot-starter引入的mybatis，所以就需要知道把mybatis-spring-boot-starter的版本调整到什么级别，以及和mybatis版本之间的依赖关系。

mybatis 3.5.6解决了该漏洞

但是项目是springboot项目，引入的是
 <mybatis-spring-boot.version>2.1.4</mybatis-spring-boot.version>

<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>${mybatis-spring-boot.version}</version>
</dependency>

 

maven报版本关系梳理

进入maven官网：百度搜索maven repository ，第一个进入就是，如下图：

在搜索框输入artifactId，如mybatis-spring-boot-starter

点击进入对应版本即可获取相关的依赖，如下图：