Spring Cloud Data Flow任意文件写入漏洞（CVE-2024-22263）

漏洞描述:

Spring Cloud Data Flow（SCDF）是一个基于微服务的工具包,用于在 CloudFoundry和Kubernetes中构建流式和批量数据处理管道,Spring Cloud Skipper是一个用于管理 Spring Boot应用程序版本和生命周期的工具,它是Spring Cloud Data Flow的一个核心组件,负责处理应用程序的部署、升级和回滚等操作,2024年5月29日，监测到Spring Cloud Data Flow中修复了一个任意文件写入漏洞（CVE-2024-22263）。
该漏洞存在于Spring Cloud Data Flow的Spring Cloud Skipper组件中,由于Skipper Server在接收上传包请求时对上传路径清理不当,有权访问Skipper Server API 的威胁者可以通过恶意设计的上传请求将任意文件写入文件系统上的任意位置,成功利用该漏洞可能导致服务器被破坏或控制。

影响范围:
Spring Cloud Skipper 2.11.0 - 2.11.2

Spring Cloud Skipper 2.10.x

 
安全措施:
升级版本
目前该漏洞已经修复,受影响用户可更新到Spring Cloud Data Flow 2.11.3,或将Spring Cloud Skipper组件升级到2.11.3

下载链接:
https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.11.3

临时措施:
暂无

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Spring Cloud Data Flow任意文件写入漏洞（CVE-2024-22263）