領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2024-22263: Spring Cloud Data Flow 中的任意檔案寫入漏洞
描述
Spring Cloud Data Flow 是一個基於微服務,在Cloud Foundry和Kubernetes中進行流式和批處理資料處理的平臺。Skipper伺服器能夠接收上傳包請求。然而,由於上傳路徑未進行適當的清理,惡意使用者如果能夠訪問Skipper伺服器API,可以使用特製的上傳請求,從而導致遠端程式碼執行。
受影響的 Spring 產品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.2
- 2.10.x
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響版本 | 修復版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.3 | OSS |
| 2.10.x | 2.11.3 | OSS |
受影響版本的使用者應升級到相應的修復版本。
致謝
該問題由 cokeBeer、crisprss、LFYSec、skyxsecurity 發現並負責任地報告。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略