Vulnerabilidad de escritura de archivos arbitrarios en Spring Cloud Data Flow
ALTO | 23 DE MAYO DE 2024 | CVE-2024-22263
Descripción
Spring Cloud Data Flow es un procesamiento de datos por lotes y streaming basado en microservicios en Cloud Foundry y Kubernetes. El servidor Skipper tiene la capacidad de recibir solicitudes de carga de paquetes. Sin embargo, debido a una desinfección inadecuada de la ruta de carga, un usuario malintencionado que tenga acceso a la API del servidor skipper puede utilizar una solicitud de carga diseñada para escribir un archivo arbitrario en cualquier ubicación del sistema de archivos e incluso puede comprometer el servidor.
Productos y versiones de primavera afectados
Mitigación
Los usuarios de las versiones afectadas deben actualizar a la versión corregida correspondiente.
Versiones afectadas | Versión reparada | Disponibilidad |
---|---|---|
2.11.x | 2.11.3 | OSS |
2.10.x | 2.11.3 | OSS |
Los usuarios de las versiones afectadas deben actualizar a la versión corregida correspondiente.