我有一个java spring Boot 应用程序A，它有依赖项B，B是第三方jar。B又有依赖项C。当人们需要升级C（比如从v1.0升级到v2.0）时，一种常见的方法是在A的pom.xml中，使用Maven排除功能将C从B中排除，然后将C-v2.0声明为直接依赖项，或者将C-v2.0添加到dependencyManagement部分。
这种方法并不能保证在所有情况下都能工作。例如org.glassfish.metro：webservices-rt：2.4.3具有依赖项woodstox-core：5.1.0，它包含高安全漏洞，需要升级到6.4.0。
我的项目A有（直接）依赖webservices-rt：2.4.3。应用上述方法并不排除我的项目中的woodstox-core：5.1.0。注意：Maven依赖项树不再显示woodstox-core：5.1.0，但Aqua Scan仍然指示webservices-rt具有依赖项woodstox-core：5.1.0。
下面是我的部分pom

<dependency>
            <groupId>com.fasterxml.woodstox</groupId>
            <artifactId>woodstox-core</artifactId>
            <version>6.4.0</version>
         </dependency>
         <dependency>
            <groupId>org.glassfish.metro</groupId>
            <artifactId>webservices-rt</artifactId>
            <version>2.4.3</version>
            <exclusions>
                <exclusion>
                    <groupId>com.fasterxml.woodstox</groupId>
                    <artifactId>woodstox-core</artifactId>
                </exclusion>
            </exclusions>
         </dependency>

在我看来，上述方法是否有效取决于B罐是如何 Package 的。有人有知识分享吗？