領先一步
VMware 提供培訓和認證,以加速您的進展。
瞭解更多Spring Security 安全性公告
CVE-2018-1229:Spring Batch Admin 檔案上傳中的儲存型 XSS 漏洞
描述
Spring Batch Admin 檔案上傳功能中的跨站腳本 (XSS) 漏洞,允許遠端攻擊者透過與檔案上傳功能相關的惡意請求,注入任意 Web 腳本或 HTML。
受影響的 Spring 產品與版本
- Spring Batch Admin 所有版本
緩解措施
受影響版本的用戶應採取以下緩解措施
- Spring Batch Admin 已於 2018 年 1 月 1 日終止生命週期。 建議使用 Spring Cloud Data Flow 作為管理與監控 Spring Batch 工作的替代方案。
致謝
此漏洞由 Wen Bin Kong 負責地回報。
參考資料
- https://spring-docs.dev.org.tw/spring-batch-admin
- https://github.com/spring-projects/spring-batch-admin/blob/master/MIGRATION.md
歷史
2018-03-16:發布初始漏洞報告。
回報漏洞
若要回報 Spring 組合中的專案安全性漏洞,請參閱安全性政策