在我正在使用的项目中

  <dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>jstl</artifactId>
    <version>1.2</version>
    <type>jar</type>
  </dependency>

但是在我们的安全团队对罐子进行评估之后,它发现捆绑的org.apache.taglibs：标准jar是版本1.2.1,它有一个安全漏洞(https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0254). Apache已经在版本1.2.3(https://tomcat.apache.org/taglibs/standard/)中修复了它.

此外,META-INF / c.tld显示它实际上是JSTL版本1.1而不是1.2(见JSTL version 1.2 declared but 1.1 delivered from Maven Repository).也许这个错误连接到错误的taglibs标准版本？

不过,我该怎么做才能在jstl中更新捆绑的taglibs标准版本？

最佳答案 而不是整个jstl-1.2.jar下载所需组件的三个最新版本：

<!-- https://mvnrepository.com/artifact/org.apache.taglibs/taglibs-standard-spec -->
<dependency>
    <groupId>org.apache.taglibs</groupId>
    <artifactId>taglibs-standard-spec</artifactId>
    <version>1.2.5</version>
</dependency>

<!-- https://mvnrepository.com/artifact/org.apache.taglibs/taglibs-standard-impl -->
<dependency>
    <groupId>org.apache.taglibs</groupId>
    <artifactId>taglibs-standard-impl</artifactId>
    <version>1.2.5</version>
</dependency>

<!-- https://mvnrepository.com/artifact/org.apache.taglibs/taglibs-standard-jstlel -->
<dependency>
    <groupId>org.apache.taglibs</groupId>
    <artifactId>taglibs-standard-jstlel</artifactId>
    <version>1.2.5</version>
</dependency>