Spring Security 安全公告

RSS feed

CVE-2018-1229:Spring Batch Admin 文件上传中的存储型 XSS

| 2018 年 3 月 16 日 | CVE-2018-1229

描述

Spring Batch Admin 的文件上传功能中存在跨站脚本 (XSS) 漏洞,允许远程攻击者通过与文件上传功能相关的精心设计的请求注入任意 Web 脚本或 HTML。

受影响的 Spring 产品和版本

  • Spring Batch Admin 所有版本

缓解措施

受影响版本的用户应采取以下缓解措施

  • Spring Batch Admin 已于 2018 年 1 月 1 日达到生命周期结束。建议使用 Spring Cloud Data Flow 作为管理和监控 Spring Batch 作业的替代方案。

鸣谢

Wen Bin Kong 负责任地报告了此漏洞。

参考

历史记录

2018-03-16:发布了最初的漏洞报告。

报告漏洞

要报告 Spring 产品组合中的项目的安全漏洞,请参阅安全策略

抢占先机

VMware 提供培训和认证,以加速您的进度。

了解更多

获得支持

Tanzu Spring 在一个简单的订阅中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部