在最近的安全公告中, Spring Cloud Data Flow 中发现了一个严重漏洞,Spring Cloud Data Flow 是一个流行的基于微服务的流式传输和批量数据处理平台,用于 Cloud Foundry 和 Kubernetes 环境。此漏洞被指定为CVE-2024-37084,CVSS 评分为9.8,表明其严重性为严重。
该漏洞位于Spring Cloud Data Flow的 Skipper 服务器组件中。Skipper 服务器旨在处理上传包请求。然而,由于上传路径清理不当,有权限访问 Skipper 服务器 API 的恶意用户可能会利用此漏洞。通过编写恶意上传请求,攻击者可以将任意文件写入文件系统上的任何位置。这种能力可能会导致服务器完全被攻陷。
值得注意的是,Skipper 服务器 API 不会向外部用户公开,这大大降低了此漏洞被利用的可能性。尽管如此,对于有权访问该 API 的内部用户来说,风险仍然存在。
该漏洞影响 Spring Cloud Data Flow 2.11.4 之前的版本。使用这些版本的用户面临风险,应立即采取措施以减轻潜在威胁。
为了解决此严重漏洞,受影响版本的用户应升级到 Spring Cloud Data Flow 版本2.11.4。此更新版本包含必要的补丁,以纠正 Skipper 服务器中的不当清理问题,从而有效消除任意文件写入利用的风险。
2.11.4 中的显著变化
-
添加 tasks/thinexecutions 用于更有效地列出任务执行。
-
添加用户在创建计划时指定应用程序版本的能力。
-
更新了 CVE 的版本和缓解措施。
-
CVE-2024-37084 Skipper 远程代码执行已得到缓解。 -
PRISMA-2023-0067 Jackson 2.17.1
原文始发于微信公众号(Ots安全):CVE-2024-37084 (CVSS 9.8):Spring Cloud Data Flow 中的远程代码执行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论