Skip to main content

Vulnerabilidad de escritura de archivos arbitrarios en Spring Cloud Data Flow

mayo 29, 2024


ALTO | 23 DE MAYO DE 2024 | CVE-2024-22263

Descripción

Spring Cloud Data Flow es un procesamiento de datos por lotes y streaming basado en microservicios en Cloud Foundry y Kubernetes. El servidor Skipper tiene la capacidad de recibir solicitudes de carga de paquetes. Sin embargo, debido a una desinfección inadecuada de la ruta de carga, un usuario malintencionado que tenga acceso a la API del servidor skipper puede utilizar una solicitud de carga diseñada para escribir un archivo arbitrario en cualquier ubicación del sistema de archivos e incluso puede comprometer el servidor.

Productos y versiones de primavera afectados

Mitigación

Los usuarios de las versiones afectadas deben actualizar a la versión corregida correspondiente.

Versiones afectadas Versión reparada Disponibilidad
2.11.x 2.11.3 OSS
2.10.x 2.11.3 OSS

Los usuarios de las versiones afectadas deben actualizar a la versión corregida correspondiente.



Source link

Saber más  Los ciberataques maliciosos contra Estonia proceden del extranjero
Translate »