描述

Spring Batch 版本 3.0.9、4.0.1、4.1.0 和更早的不受支持的版本，在接收来自不受信任来源的 XML 数据时，容易受到 XML 外部实体注入 (XXE) 的攻击。

受影响的 Spring 产品和版本

• Spring Batch 版本 3.0.9、4.0.1、4.1.0 和更早版本

缓解措施

受影响版本的用户应采取以下缓解措施

• 将 spring-batch jars 升级到 3.0.10、4.0.2、4.1.1 或更高版本
• Spring Batch 组件现在默认禁用参考备忘单 [1] 中建议的功能，这些组件表现出此漏洞，但如果可以启用该功能，因为 XML 是从受信任的来源接收的，则允许用户配置这些组件。

参考资料

• https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

历史

2019-01-14：发布了最初的漏洞报告。