領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2018-1229: Spring Batch Admin 檔案上傳中儲存型 XSS
描述
Spring Batch Admin 的檔案上傳功能中存在的跨站指令碼 (XSS) 漏洞,允許遠端攻擊者透過與檔案上傳功能相關的精心製作的請求注入任意 Web 指令碼或 HTML。
受影響的 Spring 產品和版本
- 所有 Spring Batch Admin 版本
緩解措施
受影響版本的使用者應採取以下緩解措施
- Spring Batch Admin 已於2018年1月1日停止維護。Spring Cloud Data Flow 是未來管理和監控 Spring Batch 任務的推薦替代方案。
致謝
此漏洞由 Wen Bin Kong 負責任地報告。
參考資料
- https://docs.springframework.tw/spring-batch-admin
- https://github.com/spring-projects/spring-batch-admin/blob/master/MIGRATION.md
歷史
2018-03-16:釋出了最初的漏洞報告。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略