搶先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2019-3774:XML 外部實體注入 (XXE)
描述
Spring Batch 版本 3.0.9、4.0.1、4.1.0 和更早的不受支援的版本,在接收來自不受信任來源的 XML 資料時,容易受到 XML 外部實體注入 (XXE) 的攻擊。
受影響的 Spring 產品和版本
- Spring Batch 版本 3.0.9、4.0.1、4.1.0 和更早版本
緩解措施
受影響版本的使用者應採取以下緩解措施
- 將 spring-batch jars 升級到 3.0.10、4.0.2、4.1.1 或更高版本
- Spring Batch 元件現在預設停用參考備忘單 [1] 中建議的功能,這些元件表現出此漏洞,但如果可以啟用該功能,因為 XML 是從受信任的來源接收的,則允許使用者配置這些元件。
參考資料
歷史
2019-01-14:釋出了最初的漏洞報告。
報告漏洞
要報告 Spring 產品組合中某個專案的安全漏洞,請參閱安全策略