漏洞背景
近日,嘉诚安全监测到Spring Cloud Data Flow中存在一个远程代码执行漏洞,漏洞编号为:CVE-2024-22263。
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在Cloud Foundry和Kubernetes中构建流式和批量数据处理管道。Skipper Server是Spring Cloud Data Flow的一个核心组件,用于处理数据流和任务的部署、升级和回滚等操作。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞,存在于Spring Cloud Data Flow的Skipper Server组件中,由于Skipper Server在接收上传包请求时对上传路径清理不当,有权访问Skipper Server API的攻击者可通过恶意构造的上传请求将任意文件写入目标文件系统上的任意位置,成功利用该漏洞可能导致远程代码执行并可能导致服务器被控制。
危害影响
影响版本:
Spring Cloud Skipper 2.11.0 - 2.11.3
注:Skipper Server是Spring Cloud Skipper的一个实例,它被集成到Spring Cloud Data Flow中以提供应用程序的部署、升级和回滚等功能。
处置建议
目前该漏洞已经修复,受影响用户可更新到Spring Cloud Data Flow 2.11.4,或将Spring Cloud Skipper组件升级到2.11.4。
下载链接:
https://github.com/spring-cloud/spring-cloud-dataflow/releases
参考链接:
https://spring.io/security/cve-2024-37084
https://spring.io/projects/spring-cloud-skipper
https://spring.io/projects/spring-cloud-dataflow
原文始发于微信公众号(嘉诚安全):【漏洞通告】Spring Cloud Data Flow远程代码执行漏洞安全风险通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论