領先一步
VMware 提供訓練和認證,加速您的進展。
了解更多Spring Security 安全性公告
CVE-2024-37084:Spring Cloud Data Flow 遠端程式碼執行漏洞
說明
Spring Cloud Data Flow 是一個基於微服務的串流和批次資料處理平台,部署於 Cloud Foundry 和 Kubernetes 中。Skipper 伺服器具有接收上傳套件請求的能力。由於上傳路徑未經適當清理,因此存在微小的可能性,即有權存取 Skipper 伺服器 API 的惡意使用者可以使用精心製作的上傳請求,將任意檔案寫入檔案系統上的任何位置,這可能導致伺服器受損。儘管如此,Skipper 伺服器 API 並未對外部使用者公開,因此這種漏洞被利用的可能性極低。
受影響的 Spring 產品和版本
Spring Cloud Skipper
- 2.11.0 - 2.11.3
緩解措施
受影響版本的用戶應升級到相應的修復版本。
| 受影響的版本 | 修復版本 | 可用性 |
|---|---|---|
| 2.11.x | 2.11.4 | OSS |
受影響版本的用戶應升級到相應的修復版本。
致謝
此問題由 Liyw979、robinzeng2015、fcgboy、stan000444111888 發現並負責任地回報。
回報漏洞
若要回報 Spring 系列專案中的安全性漏洞,請參閱安全性政策