CVE-2024-22263|Spring Cloud Data Flow任意文件写入漏洞
CVE-2024-22263|Spring Cloud Data Flow任意文件写入漏洞
alicy 信安百科 2024-06-07 18:29
0x00 前言
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。SCDF中一个核心组件Spring Cloud Skipper负责处理应用程序的部署、升级和回滚等操作。
0x01 漏洞描述
受影响版本中,Skipper Server在接收上传请求时对zip文件中的路径校验不严,具有 Skipper Server API 访问权限的攻击者可以通过上传请求将任意文件写入文件系统中的任意位置,从而获得服务器权限。
0x02 CVE编号
CVE-2024-22263
0x03 影响版本
Spring Cloud Skipper 2.11.0 – 2.11.2
Spring Cloud Skipper 2.10.x
0x04 漏洞详情
https://spring.io/security/cve-2024-22263
0x05 参考链接
https://spring.io/security/cve-2024-22263
推荐阅读:
CVE-2024-22120|Zabbix Server SQL注入漏洞(POC)
CVE-2024-22243|Spring Framework URL解析不当漏洞(重定向攻击和SSRF攻击)
CVE-2023-38286|Spring Boot Admin 远程代码执行漏洞
Ps:国内外安全热点分享,欢迎大家分享、转载,请保证文章的完整性。文章中出现敏感信息和侵权内容,请联系作者删除信息。信息安全任重道远,感谢您的支持
!!!
本公众号的文章及工具仅提供学习参考,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用者本人负责,本公众号及文章作者不为此承担任何责任。