Spring Cloud Data Flow 远程代码执行漏洞（CVE-2024-37084）

2024年7月26日22:15:44评论141 views字数 800阅读2分40秒阅读模式

预警公告严重

近日，安全聚实验室监测到 Spring Cloud Data Flow 中存在远程代码执行漏洞，编号为：CVE-2024-37084，CVSS：9.8 该漏洞允许有权访问 Skipper 服务器 api 的恶意用户，可以利用构建的上传请求将任意文件写入文件系统的任何位置，从而导致远程代码执行漏洞。

漏洞描述

Spring Cloud Data Flow是一个用于构建数据微服务的工具，它提供了一种简单且灵活的方式来连接、部署和管理数据处理应用程序。通过Spring Cloud Data Flow，用户可以轻松地创建数据流管道，实现数据的实时处理和批处理，并支持各种数据处理引擎和消息中间件。该产品提供了可视化的用户界面和命令行工具，使用户能够快速部署和监控数据流应用程序，同时具有高度的可扩展性和灵活性，适用于各种数据处理场景。由于未正确审查上传路径，具有访问Skipper服务器API权限的恶意用户可以利用构建的上传请求将任意文件写入文件系统的任何位置，可能导致服务器遭受远程代码执行漏洞的损害。

影响范围

2.11.0 <= Spring Cloud Data Flow <= 2.11.3

安全措施

目前厂商已发布可更新版本，建议用户尽快更新至 Spring Cloud Data Flow 的修复版本或更高的版本：

Spring Cloud Data Flow >= 2.11.4

下载链接：
https://dataflow.spring.io/getting-started/

参考链接

1.https://nvd.nist.gov/vuln/detail/CVE-2024-37084
2.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-37084

原文始发于微信公众号（安全聚）：【漏洞预警】Spring Cloud Data Flow 远程代码执行漏洞（CVE-2024-37084）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Spring Cloud Data Flow 远程代码执行漏洞（CVE-2024-37084）

CVE-2025-27218｜Sitecore CMS远程代码执行漏洞

CentreStack 反序列化漏洞 (CVE-2025-30406)

Windows提权漏洞CVE-2025-21204

漏洞预警博华X龙防火墙系统 arp_scan文件读取漏洞

网安人的咯噔文学|CVE-2025-404NotFound？

CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升

Windows 提权漏洞速报：CVE-2025-21204

Jupyter Remote Desktop未授权访问漏洞CVE-2025-32428

F5 BIG-IP命令注入漏洞CVE-2025-23239

三星路由器WLAN-AP-WEA453e-未授权RCE等多个漏洞 POC

发表评论

在线咨询

微信