領先一步
VMware 提供培訓和認證,可加速您的進度。
瞭解更多Spring Security 安全公告
CVE-2024-22263:Spring Cloud Data Flow 中的任意檔案寫入漏洞
描述
Spring Cloud Data Flow 是一個基於微服務的串流和批次資料處理框架,可在 Cloud Foundry 和 Kubernetes 中使用。 Skipper 伺服器能夠接收上傳套件的請求。 然而,由於對上傳路徑的驗證不當,有權限存取 Skipper 伺服器 API 的惡意使用者可以利用精心設計的上傳請求來導致遠端程式碼執行。
受影響的 Spring 產品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.2
- 2.10.x
緩解措施
受影響版本的使用者應升級至對應的修正版本。
| 受影響的版本 | 修正版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.3 | OSS |
| 2.10.x | 2.11.3 | OSS |
受影響版本的使用者應升級至對應的修正版本。
致謝
此問題由 cokeBeer、 crisprss、 LFYSec、 skyxsecurity 發現並負責地回報。
回報漏洞
若要回報 Spring 產品組合中專案的安全漏洞,請參閱安全策略