今天收到领导的邮件，关于Spring框架中存在多个安全漏洞预警的通知。漏洞描述

CV E-2018-1270漏洞：Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本，通过spring-m essaging和spring-websocket模块提供的基于W ebSocket的STO M P，攻击者可以通过建立W ebSocket连接并发送一条消息造成远程代码执行，从而实现远程代码执行攻击。
CV E-2018-1271漏洞：Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本，SpringM V C允许应用程序对其配置提供静态资源，在W indows系统上实现该功能时，攻击者通过请求构造的特定资源U RL，可能导致目录遍历的效果产生。
CV E-2018-1272漏洞：Spring Fram ework的5.*版本、4.3.*版本以及不再支持的旧版本，当SpringM V C或Spring W ebFlux服务器接受把客户端请求再转向另一台服务器的场景下，攻击者通过构造和污染M ultipart类型请求，可能对另一台服务器实现权限提升攻击。
漏洞相关的技术细节和验证程序已经公开，且漏洞相关PoC已经公开并证实可用，可能构成巨大的现实威胁。

1、受影响版本：
Spring Framework 5.0 to 5.0.4.

SpringFramework 4.3 to 4.3.14

已不支持的旧版本仍然受影响

2、处置建议

升级补丁：

5.0.x 用户升级到5.0.5版本

4.3.x 用户升级到4.3.15版本 

已不支持的旧版本，建议更新到4.3.15版本或5.0.5版本。

于是就开始Spring升级的苦逼之路，其他项目还算顺利但是到xfire服务时出问题，在这个接口服务中引用了spring-1.2.6.jar不知道这个是不是也需要升级呢不管三七二十一开干，中间有很多问题，在最大程度上保持代码不动的前提下，做了以下更改，直接上操作步骤。

将项目下的spring-1.2.6.jar删除引入如下jar文件：

问题一：

Configuration problem: Old 1.x 'singleton' attribute in use - upgrade to 'scope

解决方式：修改xfire-spring-1.2.6.jar包中org/codehaus/xfire/spring/xfire.xml配置文件中

所有singleton="true"改成scope="singleton"。修改方式直接用压缩文件打开jar文件找到文件修改并保存。

问题二:

Unrecognized xbean element mapping:beans in namespace http://xfire.codehaus.org/config/1.0

修改xfire配置文件services.xml

修改后：

问题三：

cannot convert value of type 'org.codehaus.xfire.spring.editors.ServiceFactoryEditor' to .....

解决方式：修改修改xfire-spring-1.2.6.jar包中org/codehaus/xfire/spring/customEditors.xmll配置文件:

修改后：