Spring安全公告

所有公告

CVE-2019-3774:XML外部实体注入 (XXE)

严重 | 2019年1月14日 | CVE-2019-3774

描述

Spring Batch 3.0.9、4.0.1、4.1.0版以及更旧的无支持版本在从不受信任的来源接收XML数据时,容易受到XML外部实体注入 (XXE) 的攻击。

受影响的Spring产品和版本

  • Spring Batch 3.0.9、4.0.1、4.1.0版以及更旧版本

缓解措施

受影响版本的使用者应采取以下缓解措施:

  • 将spring-batch jar升级到3.0.10、4.0.2、4.1.1或更高版本。
  • 表现出此漏洞的Spring Batch组件现在已根据参考速查表[1]中的建议默认禁用这些功能,但如果由于从受信任的来源接收XML而可以启用该功能,则允许用户配置这些组件。

参考资料

历史记录

2019-01-14:发布初始漏洞报告。

报告漏洞

要报告Spring产品组合中项目的安全漏洞,请参阅安全策略

领先一步

VMware提供培训和认证,以加速您的进步。

了解更多

获取支持

Tanzu Spring在一个简单的订阅中提供OpenJDK™、Spring和Apache Tomcat®的支持和二进制文件。

了解更多

即将举行的活动

查看Spring社区中所有即将举行的活动。

查看全部