1. druid未授权访问漏洞

druid提供监控管理页面

uri http://localhost:8089/druid/index.html

使用的druid依赖版本

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.9</version>
        </dependency>

这个被安全扫描到 属于低风险漏洞 druid未授权访问漏洞

2. 如何处理

首先需要升级依赖版本

我使用的是1.2.6，更多版本可以自己去 maven找

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.2.6</version>
        </dependency>

application.yml

可以根据需要自行修改

spring:
  datasource:
    druid:
      stat-view-servlet:
        
        enabled: false
        #使重置功能不起作用
        reset-enable: false
        #配置访问监控view的用户名密码
        login-username: root
        login-password: root
        #IP白名单 (没有配置或者为空，则允许所有访问)
        allow: 127.0.0.1,192.168.1.1
        # IP黑名单 (存在共同时，deny优先于allow)
#        deny: 192.168.10.1 

结果