搶先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2024-22263:Spring Cloud Data Flow 中的任意檔案寫入漏洞
描述
Spring Cloud Data Flow 是一個基於微服務的流式和批處理資料處理框架,可在 Cloud Foundry 和 Kubernetes 中使用。 Skipper 伺服器具有接收上傳包請求的能力。 然而,由於上傳路徑的錯誤清理,有權訪問 Skipper 伺服器 API 的惡意使用者可以使用精心設計的上傳請求導致遠端程式碼執行。
受影響的 Spring 產品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.2
- 2.10.x
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.3 | OSS |
| 2.10.x | 2.11.3 | OSS |
受影響版本的使用者應升級到相應的修復版本。
致謝
該問題由 cokeBeer, crisprss, LFYSec, skyxsecurity 發現並負責任地報告。
報告漏洞
要報告 Spring 產品組合中的某個專案的安全漏洞,請參閱安全策略