Spring Cloud Data Flow任意文件写入漏洞安全风险通告

admin 2024年5月30日21:46:15评论24 views字数 886阅读2分57秒阅读模式
漏洞背景
近日,嘉诚安全监测到Spring Cloud Data Flow中修复了一个任意文件写入漏洞,漏洞编号为:CVE-2024-22263

Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在Cloud Foundry和Kubernetes中构建流式和批量数据处理管道。Spring Cloud Skipper是一个用于管理Spring Boot应用程序版本和生命周期的工具,它是Spring Cloud Data Flow的一个核心组件,负责处理应用程序的部署、升级和回滚等操作。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详情

经研判,该漏洞为高危漏洞,存在于Spring Cloud Data Flow的Spring Cloud Skipper组件中,由于Skipper Server在接收上传包请求时对上传路径清理不当,有权访问Skipper Server API的攻击者可以通过恶意设计的上传请求将任意文件写入文件系统上的任意位置,成功利用该漏洞可能导致服务器被破坏或控制。

危害影响
影响范围:

Spring Cloud Skipper 2.11.0 - 2.11.2

Spring Cloud Skipper 2.10.x

处置建议

目前该漏洞已经修复,受影响用户可更新到Spring Cloud Data Flow 2.11.3,或将Spring Cloud Skipper 组件升级到2.11.3。

下载链接:

https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.11.3

参考链接:

https://spring.io/security/cve-2024-22263

https://spring.io/projects/spring-cloud-skipper

https://spring.io/projects/spring-cloud-dataflow

原文始发于微信公众号(嘉诚安全):【漏洞通告】Spring Cloud Data Flow任意文件写入漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月30日21:46:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Spring Cloud Data Flow任意文件写入漏洞安全风险通告https://cn-sec.com/archives/2796138.html

发表评论

匿名网友 填写信息