抢先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2024-22263:Spring Cloud Data Flow 中的任意文件写入漏洞
描述
Spring Cloud Data Flow 是一个基于微服务的流式和批处理数据处理框架,可在 Cloud Foundry 和 Kubernetes 中使用。 Skipper 服务器具有接收上传包请求的能力。 然而,由于上传路径的错误清理,有权访问 Skipper 服务器 API 的恶意用户可以使用精心设计的上传请求导致远程代码执行。
受影响的 Spring 产品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.2
- 2.10.x
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响的版本 | 修复版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.3 | OSS |
| 2.10.x | 2.11.3 | OSS |
受影响版本的用户应升级到相应的修复版本。
致谢
该问题由 cokeBeer, crisprss, LFYSec, skyxsecurity 发现并负责任地报告。
报告漏洞
要报告 Spring 产品组合中的某个项目的安全漏洞,请参阅安全策略