搶先一步
VMware 提供訓練和認證,以加速您的進度。
深入瞭解Spring Security 安全性公告
CVE-2018-1230:Spring Batch Admin 易受跨站請求偽造攻擊
說明
Spring Batch Admin 未包含跨站請求偽造 (CSRF) 保護,這可能允許攻擊者製作惡意網站,以執行對 Spring Batch Admin 的請求。
受影響的 Spring 產品和版本
- Spring Batch Admin 所有版本
緩解措施
受影響版本的用戶應套用以下緩解措施
- Spring Batch Admin 已於 2018 年 1 月 1 日終止生命週期。Spring Cloud Data Flow 是用於管理和監控 Spring Batch 作業的建議替代方案。
鳴謝
此漏洞由 Wen Bin Kong 負責通報。
參考資料
- https://spring-docs.dev.org.tw/spring-batch-admin
- https://github.com/spring-projects/spring-batch-admin/blob/master/MIGRATION.md
歷程記錄
2018-03-16:發布初始漏洞報告。
報告漏洞
如要報告 Spring Portfolio 內專案的安全性漏洞,請參閱安全性政策