領先一步
VMware 提供培訓和認證,以加速您的進步。
瞭解更多CVE-2024-37084:Spring Cloud Data Flow 中的遠端程式碼執行
描述
Spring Cloud Data Flow 是一個基於微服務的流式和批處理資料處理平臺,部署在 Cloud Foundry 和 Kubernetes 中。 Skipper 伺服器能夠接收上傳包請求。由於上傳路徑的清理不當,擁有 Skipper 伺服器 API 訪問許可權的惡意使用者有可能使用精心製作的上傳請求將任意檔案寫入檔案系統上的任何位置,這可能導致伺服器受到威脅。 也就是說,Skipper 伺服器 API 不對外部使用者公開,因此這種利用的可能性極小。
受影響的 Spring 產品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.3
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.4 | OSS |
受影響版本的使用者應升級到相應的修復版本。
鳴謝
該問題由Liyw979、robinzeng2015、fcgboy、stan000444111888 識別並負責任地報告。
報告漏洞
要報告 Spring 產品組合中專案的安全漏洞,請參閱安全策略