在我的项目中,我正在使用
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
<type>jar</type>
</dependency>
但是在我们的安全团队评估了jar后,它发现捆绑的org.apache.taglibs:标准jar是版本1.2.1,它有一个安全漏洞(https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0254)。 Apache已经在版本1.2.3(https://tomcat.apache.org/taglibs/standard/)中修复了它。
此外,META-INF/c.tld表明它实际上是JSTL版本1.1而不是1.2(请参阅JSTL version 1.2 declared but 1.1 delivered from Maven Repository)。也许这个错误与错误的taglibs标准版本有关?
尽管如此,我该如何更新jstl中的捆绑taglibs标准版本?
答案 0 :(得分:2)
而不是整个jstl-1.2.jar下载所需组件的三个最新版本:
<!-- https://mvnrepository.com/artifact/org.apache.taglibs/taglibs-standard-spec -->
<dependency>
<groupId>org.apache.taglibs</groupId>
<artifactId>taglibs-standard-spec</artifactId>
<version>1.2.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.taglibs/taglibs-standard-impl -->
<dependency>
<groupId>org.apache.taglibs</groupId>
<artifactId>taglibs-standard-impl</artifactId>
<version>1.2.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.taglibs/taglibs-standard-jstlel -->
<dependency>
<groupId>org.apache.taglibs</groupId>
<artifactId>taglibs-standard-jstlel</artifactId>
<version>1.2.5</version>
</dependency>