领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2024-22236:通过以不安全权限创建的临时目录进行本地信息泄露
描述
Spring Cloud Contract 的 4.1.x 版本(低于 4.1.1)、4.0.x 版本(低于 4.0.5)和 3.1.x 版本(低于 3.1.10)中的测试执行,容易受到通过 org.springframework.cloud:spring-cloud-contract-shade 依赖项中经过遮蔽处理的 com.google.guava:guava 依赖项,以不安全权限创建的临时目录进行本地信息泄露的攻击。
受影响的 Spring 产品和版本
- Spring Cloud Contract
- 4.1.0
- 4.0.0 到 4.0.5
- 3.1.0 到 3.1.10
缓解措施
将 Spring Cloud Contract 升级到 3.1.10 或 4.0.5 或 4.1.1。
受影响版本的用户应采取以下缓解措施。4.1.x 用户应升级到 4.1.1。4.0.x 用户应升级到 4.0.5。3.1.x 用户应升级到 3.1.10。无需其他步骤。已修复此问题的版本包括
- Spring Cloud Contract
- 4.1.1
- 4.0.5
- 3.1.10
致谢
此问题由 Oddball 的 Michael Kimball 识别并负责任地报告。
参考资料
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略