snakeyaml1.x升级2.x,修复漏洞

1.背景

在工作中，经常会有漏洞扫描，有一次看到了snakeyaml的漏洞：

项目框架：springBoot
版本：2.2.6.RELEASE

snakeyaml 中央仓库信息

snakeyaml中央仓库地址：https://mvnrepository.com/artifact/org.yaml/snakeyaml

目前中央仓库显示，1.x版本全有漏洞警告，可用版本只有2.x

3.修复漏洞：

修复方式如下： （此方法仅限springBoot 2.7.10及以上版本使用）

            <dependency>
				<groupId>com.baomidou</groupId>
				<artifactId>mybatis-plus-boot-starter</artifactId>
				<version>${mybatis-plus.version}</version>
				<exclusions>
					<exclusion>
						<groupId>org.yaml</groupId>
						<artifactId>snakeyaml</artifactId>
					</exclusion>
				</exclusions>
			</dependency>

			<dependency>
				<groupId>org.yaml</groupId>
				<artifactId>snakeyaml</artifactId>
				<version>2.0</version>
			</dependency>

如果你的SpringBootStarter版本在2.7.10以下，请继续看完下面内容

2.7.10版本以下的项目，仅做此排除和重新引入2.x依赖操作，那么项目会启动失败，你会得到以下两种启动报错：

报错一：

java.lang.NoSuchMethodError: org.yaml.snakeyaml.constructor.Constructor: method <init>()V not found

报错二：

java.lang.NoSuchMethodError: org.yaml.snakeyaml.representer.Representer: method <init>()V not found

4.启动报错的原因：

snakeyaml 2.x版本去掉了Constructor和Representer两个类中的无参构造，但springBootStarter2.7.10以下版本会加载这个无参构造，所以项目启动会失败

5.解决办法：

1.升级springboot-starter至2.7.10及以上 （springBoot版本升级，考虑整个项目的影响，慎重）

2.重写这两个类，加上无参构造（本文解决方案）

原理：Java父子加载器，覆盖maven依赖jar包中的类。

若idea无法下载源码，参考以下github地址

snakeyaml源码gitHub参考地址：

https://github.com/snakeyaml/snakeyaml/blob/master/src/main/java/org/yaml/snakeyaml/representer/Representer.java

1.在src目录下按这两个类的路径建包，复制这两个类源代码，增加无参构造

做完此重写操作，即可修复升级2.x后不能启动的问题。

ps: 查看maven 依赖树结构命令
在idea命令窗口，执行： mvn dependency:tree

本文绑定附件：org.zip 。直接将org.zip解压，放在src目录下即可