领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2024-22263: Spring Cloud Data Flow 中的任意文件写入漏洞
描述
Spring Cloud Data Flow 是一个基于微服务,在Cloud Foundry和Kubernetes中进行流式和批处理数据处理的平台。Skipper服务器能够接收上传包请求。然而,由于上传路径未进行适当的清理,恶意用户如果能够访问Skipper服务器API,可以使用特制的上传请求,从而导致远程代码执行。
受影响的 Spring 产品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.2
- 2.10.x
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.3 | OSS |
| 2.10.x | 2.11.3 | OSS |
受影响版本的用户应升级到相应的修复版本。
致谢
该问题由 cokeBeer、crisprss、LFYSec、skyxsecurity 发现并负责任地报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略