领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring 安全公告
CVE-2024-22236:通过权限不安全的临时目录泄露本地信息
描述
在 Spring Cloud Contract 中,4.1.x 版本(低于 4.1.1),4.0.x 版本(低于 4.0.5)和 3.1.x 版本(低于 3.1.10),由于 **org.springframework.cloud:spring-cloud-contract-shade** 依赖中包含的 **com.google.guava:guava** 依赖项创建的临时目录权限不安全,测试执行容易受到通过该漏洞泄露本地信息的影响。
受影响的 Spring 产品和版本
- Spring Cloud Contract
- 4.1.0
- 4.0.0 到 4.0.4
- 3.1.0 到 3.1.9
缓解措施
将 Spring Cloud Contract 升级到 3.1.10 或 4.0.5 或 4.1.1。
受影响版本的使用者应该应用以下缓解措施。4.1.x 用户应升级到 4.1.1;4.0.x 用户应升级到 4.0.5;3.1.x 用户应升级到 3.1.10。无需其他步骤。已修复此问题的版本包括:
- Spring Cloud Contract
- 4.1.1
- 4.0.5
- 3.1.10
致谢
Oddball 公司的 Michael Kimball 发现了这个问题并负责任地进行了报告。
参考资料
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略