领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring Security 安全公告
CVE-2018-1230:Spring Batch Admin 存在跨站请求伪造漏洞
描述
Spring Batch Admin 未包含跨站请求伪造 (CSRF) 保护,这可能允许攻击者构建一个恶意站点,该站点会向 Spring Batch Admin 发出请求。
受影响的 Spring 产品和版本
- 所有版本的 Spring Batch Admin
缓解措施
受影响版本的使用者应应用以下缓解措施
- Spring Batch Admin 自 2018年1月1日起已停止维护。Spring Cloud Data Flow 是未来管理和监控 Spring Batch 作业的推荐替代方案。
鸣谢
此漏洞由 Kong Wen Bin 负责报告。
参考
- https://docs.springframework.org.cn/spring-batch-admin
- https://github.com/spring-projects/spring-batch-admin/blob/master/MIGRATION.md
历史
2018-03-16:发布初始漏洞报告。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略