領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2018-1230:Spring Batch Admin 存在跨站請求偽造漏洞
描述
Spring Batch Admin 未包含跨站請求偽造 (CSRF) 保護,這可能允許攻擊者製作一個惡意網站,該網站可以向 Spring Batch Admin 執行請求。
受影響的 Spring 產品和版本
- 所有 Spring Batch Admin 版本
緩解措施
受影響版本的使用者應採取以下緩解措施
- Spring Batch Admin 已於2018年1月1日停止維護。Spring Cloud Data Flow 是未來管理和監控 Spring Batch 任務的推薦替代方案。
致謝
此漏洞由 Wen Bin Kong 負責任地報告。
參考資料
- https://docs.springframework.tw/spring-batch-admin
- https://github.com/spring-projects/spring-batch-admin/blob/master/MIGRATION.md
歷史
2018-03-16:釋出初始漏洞報告。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略