Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在Cloud Foundry和Kubernetes中构建流式和批量数据处理管道。Spring Cloud Skipper是一个用于管理Spring Boot应用程序版本和生命周期的工具,它是Spring Cloud Data Flow的一个核心组件,负责处理应用程序的部署、升级和回滚等操作。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
经研判,该漏洞为高危漏洞,存在于Spring Cloud Data Flow的Spring Cloud Skipper组件中,由于Skipper Server在接收上传包请求时对上传路径清理不当,有权访问Skipper Server API的攻击者可以通过恶意设计的上传请求将任意文件写入文件系统上的任意位置,成功利用该漏洞可能导致服务器被破坏或控制。
Spring Cloud Skipper 2.11.0 - 2.11.2
Spring Cloud Skipper 2.10.x
目前该漏洞已经修复,受影响用户可更新到Spring Cloud Data Flow 2.11.3,或将Spring Cloud Skipper 组件升级到2.11.3。
下载链接:
https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.11.3
参考链接:
https://spring.io/security/cve-2024-22263
https://spring.io/projects/spring-cloud-skipper
https://spring.io/projects/spring-cloud-dataflow
原文始发于微信公众号(嘉诚安全):【漏洞通告】Spring Cloud Data Flow任意文件写入漏洞安全风险通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论