领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2019-3774: XML 外部实体注入 (XXE)
描述
Spring Batch 的 3.0.9、4.0.1、4.1.0 及更早的、不再受支持的版本,在接收来自不受信任来源的 XML 数据时,容易受到 XML 外部实体注入 (XXE) 的攻击。
受影响的 Spring 产品和版本
- Spring Batch 的 3.0.9、4.0.1、4.1.0 及更早的版本
缓解措施
受影响版本的用户应采取以下缓解措施
- 请将 spring-batch jar 升级到 3.0.10、4.0.2、4.1.1 或更高版本
- 受此漏洞影响的 Spring Batch 组件现在默认禁用这些功能,正如参考备忘单 [1] 中所述,但如果 XML 来自受信任的来源,允许用户配置以启用该功能。
参考资料
历史
2019-01-14:发布初始漏洞报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略