領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2019-3774: XML 外部實體注入 (XXE)
描述
Spring Batch 的 3.0.9、4.0.1、4.1.0 及更早的、不再受支援的版本,在接收來自不受信任來源的 XML 資料時,容易受到 XML 外部實體注入 (XXE) 的攻擊。
受影響的 Spring 產品和版本
- Spring Batch 的 3.0.9、4.0.1、4.1.0 及更早的版本
緩解措施
受影響版本的使用者應採取以下緩解措施
- 請將 spring-batch jar 升級到 3.0.10、4.0.2、4.1.1 或更高版本
- 受此漏洞影響的 Spring Batch 元件現在預設停用這些功能,正如參考備忘單 [1] 中所述,但如果 XML 來自受信任的來源,允許使用者配置以啟用該功能。
參考資料
歷史
2019-01-14:釋出初始漏洞報告。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略