Spring Security 安全性建議

所有建議

CVE-2019-3774:XML 外部實體注入 (XXE)

嚴重 | 2019 年 1 月 14 日 | CVE-2019-3774

描述

Spring Batch 3.0.9、4.0.1、4.1.0 以及更舊的不支援版本,在接收來自不受信任來源的 XML 資料時,容易受到 XML 外部實體注入 (XXE) 的攻擊。

受影響的 Spring 產品和版本

  • Spring Batch 版本 3.0.9、4.0.1、4.1.0 及更舊版本

緩解措施

受影響版本的用戶應採用以下緩解措施

  • 將 spring-batch jars 升級至 3.0.10、4.0.2、4.1.1 或更新版本
  • 出現此漏洞的 Spring Batch 元件現在預設會停用參考速查表 [1] 中建議的功能,但如果可以啟用該功能 (因為 XML 是從受信任的來源接收),則允許使用者設定元件。

參考資料

歷史記錄

2019-01-14:發布初始漏洞報告。

報告漏洞

若要報告 Spring 產品組合中專案的安全性漏洞,請參閱安全性原則

搶先一步

VMware 提供訓練和認證,可加速您的進展。

了解更多

取得支援

Tanzu Spring 在一個簡單的訂閱中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支援和二進位檔。

了解更多

即將到來的活動

查看 Spring 社群中所有即將到來的活動。

檢視全部