领先一步
VMware 提供培训和认证,帮助您快速提升技能。
了解更多Spring Security 安全公告
CVE-2024-37084:Spring Cloud Data Flow 中的远程代码执行漏洞
描述
Spring Cloud Data Flow 是一个基于微服务的流式和批处理数据处理平台,部署在 Cloud Foundry 和 Kubernetes 上。Skipper 服务器能够接收上传包请求。由于上传路径的清理不当,存在一个小概率事件,恶意用户如果能够访问 Skipper 服务器 API,可以使用精心构造的上传请求将任意文件写入文件系统的任何位置,从而可能导致服务器被入侵。也就是说,Skipper 服务器 API 不会暴露给外部用户,此漏洞被利用的可能性极小。
受影响的 Spring 产品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.3
缓解措施
受影响版本的使用者应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.4 | 开源 |
受影响版本的使用者应升级到相应的修复版本。
鸣谢
该问题由 Liyw979、robinzeng2015、fcgboy、stan000444111888 发现并负责任地报告。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅 安全策略