领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多CVE-2024-37084:Spring Cloud Data Flow 中的远程代码执行
描述
Spring Cloud Data Flow 是一个基于微服务的流式和批处理数据处理平台,部署在 Cloud Foundry 和 Kubernetes 中。 Skipper 服务器能够接收上传包请求。由于上传路径的清理不当,拥有 Skipper 服务器 API 访问权限的恶意用户有可能使用精心制作的上传请求将任意文件写入文件系统上的任何位置,这可能导致服务器受到威胁。 也就是说,Skipper 服务器 API 不对外部用户公开,因此这种利用的可能性极小。
受影响的 Spring 产品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.3
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响的版本 | 修复版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.4 | OSS |
受影响版本的用户应升级到相应的修复版本。
鸣谢
该问题由Liyw979、robinzeng2015、fcgboy、stan000444111888 识别并负责任地报告。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略