2024年5月30日,网上更新披露了一个Spring Cloud Data Flow 任意文件写入漏洞(CVE-2024-22263),Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。SCDF中一个核心组件Spring Cloud Skipper负责处理应用程序的部署、升级和回滚等操作,请各位用户尽快安装漏洞补丁。
漏洞风险:在受影响版本中,Skipper Server在接收上传请求时对zip文件中的路径校验不严,具有 Skipper Server API 访问权限的攻击者可以通过上传请求将任意文件写入文件系统中的任意位置,从而获得服务器权限。
风险等级:高风险。
影响范围:
2.11.0 <= Spring Cloud Data Flow <= 2.11.2
Spring Cloud Data Flow 2.10.*
修复建议:
受影响版本的用户应升级到相应的修复版本:
Spring Cloud Data Flow >= 2.11.3
进行安全更新方法:
官方补丁下载地址:https://spring.io/security/cve-2024-22263
