领先一步
VMware 提供培训和认证,助您快速提升技能。
了解更多Spring Security 公告
CVE-2024-22263:Spring Cloud Data Flow 中的任意文件写入漏洞
描述
Spring Cloud Data Flow 是一个基于微服务的流式和批处理数据处理解决方案,可在 Cloud Foundry 和 Kubernetes 上运行。Skipper 服务器能够接收上传包请求。但是,由于上传路径的清理不当,恶意用户如果能够访问 skipper 服务器 API,则可以使用精心制作的上传请求导致远程代码执行。
受影响的 Spring 产品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.2
- 2.10.x
缓解措施
受影响版本的使用者应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.3 | 开源 |
| 2.10.x | 2.11.3 | 开源 |
受影响版本的使用者应升级到相应的修复版本。
致谢
该问题由 cokeBeer、crisprss、LFYSec 和 skyxsecurity 识别并负责任地报告。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅 安全策略