领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2018-1230:Spring Batch Admin 存在跨站请求伪造漏洞
描述
Spring Batch Admin 未包含跨站请求伪造 (CSRF) 保护,这可能允许攻击者制作一个恶意网站,该网站可以向 Spring Batch Admin 执行请求。
受影响的 Spring 产品和版本
- 所有 Spring Batch Admin 版本
缓解措施
受影响版本的用户应采取以下缓解措施
- Spring Batch Admin 已于2018年1月1日停止维护。Spring Cloud Data Flow 是未来管理和监控 Spring Batch 任务的推荐替代方案。
致谢
此漏洞由 Wen Bin Kong 负责任地报告。
参考资料
- https://docs.springjava.cn/spring-batch-admin
- https://github.com/spring-projects/spring-batch-admin/blob/master/MIGRATION.md
历史
2018-03-16:发布初始漏洞报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略