领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2024-37084: Spring Cloud Data Flow 中的远程代码执行漏洞
描述
Spring Cloud Data Flow 是一个基于微服务的流式和批处理数据处理平台,部署在 Cloud Foundry 和 Kubernetes 中。Skipper 服务器具有接收上传包请求的能力。由于上传路径未进行适当净化,恶意用户(具有 Skipper 服务器 API 访问权限)有可能利用精心构造的上传请求,将任意文件写入文件系统上的任何位置,从而可能导致服务器被入侵。尽管如此,Skipper 服务器 API 并未对外暴露,因此此漏洞被利用的可能性极低。
受影响的 Spring 产品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.3
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.4 | OSS |
受影响版本的用户应升级到相应的修复版本。
致谢
此问题由 Liyw979、robinzeng2015、fcgboy 和 stan000444111888 发现并负责任地报告。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略