更上一层楼
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2024-22236:通过使用不安全权限创建的临时目录导致本地信息泄露
描述
在 Spring Cloud Contract 中,4.1.x 版本早于 4.1.1,4.0.x 版本早于 4.0.5,3.1.x 版本早于 3.1.10,测试执行容易受到本地信息泄露的影响,原因是通过 org.springframework.cloud:spring-cloud-contract-shade 依赖项中阴影化的 com.google.guava:guava 依赖项,使用不安全权限创建临时目录。
受影响的 Spring 产品和版本
- Spring Cloud Contract
- 4.1.0
- 4.0.0 到 4.0.5
- 3.1.0 到 3.1.10
缓解措施
将 Spring Cloud Contract 升级到 3.1.10 或 4.0.5 或 4.1.1。
受影响版本的用户应应用以下缓解措施。4.1.x 用户应升级到 4.1.1。4.0.x 用户应升级到 4.0.5。3.1.x 用户应升级到 3.1.10。无需其他步骤。已修复此问题的版本包括
- Spring Cloud Contract
- 4.1.1
- 4.0.5
- 3.1.10
鸣谢
此问题由 Oddball 的 Michael Kimball 发现并负责任地报告。
参考
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略