记录点滴

刚解决Spring Framework 特定条件下目录遍历漏洞（CVE-2024-38816）没几天，又来一个新的，真是哭笑不得啊。不过没关系，springboot官方又发布了新的版本3.3.5，将项目升级到该版本即可从springboot2.x升级到3.x请查看springboot2.x升级到3.x实战经验总结。

springboot2.x升级到3.x实战经验总结安全版本6.0.24 和 6.1.13 是springboot3.x使用的版本，springboot3.x的用户只需要将springboot升级到最新版本即可，官方已发布最新版本，如下图所示，springboot3.2以下版本已不再提供更新维护。祝大家升级顺利！

一开始我们尝试直接替换spring-web的版本，但是只替换这一个包的话项目启动会报错，通过实践和反复尝试，我们对spring相关的jar包都进行了覆盖，这样可以保持springboot的版本号不变。如果现有项目的大版本是3.x，直接升级即可，但是有些老项目还停留在2.x的版本，官方并没有针对2.x发布新版本，从2.x直接升级到3.x，代价又比较大。其它已经不受官方支持的版本(5.1.x,5.2.x)同样受到影响，更新到受官方支持的安全版本。查看 springboot的版本，只有最新的。

大多数人都是直接禁用swagger，这样一来就给开发人员带来了负担，因为需要解决接口文档的问题，相信大家用惯了swagger文档，都不愿意自己再去手动写接口文档了。swagger未授权访问主要的路径如下，根据版本不同或者自定义的路径，可能会有一定的差异，自定义路径的只需要把自己的路径添加进来即可。通过以上方式，即解决了swagger未授权访问的问题，又解决了通过token授权访问的问题！怎样才能方便的修复未授权访问的漏洞，同时又能通过验证正常访问swagger文档呢？的方式对请求进行验证，

问题描述：2023年10月 Spring官方披露 CVE-2023-34050 Spring AMQP反序列化漏洞漏洞。由于 SimpleMessageConverter 或 SerializerMessageConverter 默认未配置白名单，导致可以反序列化任意类。新版本中在未配置白名单的情况下则不允许反序列化任意类。解决的建议：1.spring-amqp版本低于2.4.17的用户应升级到2.4.172.spring-amqp是3.0.0至3.0.9版本的用户应升级至3.0.10