Spring Cloud Data Flow任意文件上传漏洞来袭，启明星辰提供解决方案

发布于2024年6月6日2025年7月19日作者:cve-20

Spring Cloud Data Flow任意文件上传漏洞来袭，启明星辰提供解决方案

启明星辰集团 2024-06-05 18:30

Spring
Cloud Data Flow
(SCDF)
是一个用于构建、部署和管理微服务的框架。它通过提供一组工具和服务，简化了数据处理和分析的流程，允许开发人员快速构建和部署复杂的数据处理管道。SCDF 的使用场景包括流式数据处理、批量数据处理、事件驱动处理等多种场景。

SCDF的核心组件包括：
– Spring
Cloud Data Flow Server
：负责接收、管理和执行数据处理管道的请求。

Spring
Cloud Data Flow Shell
：命令行工具，用于与

SCDF Server交互。

Spring
Cloud Data Flow UI
：
Web 界面，用于管理和监控数据处理管道。
Spring
Cloud Data Flow Task
：用于批量数据处理的任务执行引擎。
Spring
Cloud Stream
：用于构建流式数据处理管道的框架。
Spring
Cloud Task
：用于构建批量数据处理管道的框架。
Spring
Cloud Skipper
：用于部署和升级
Spring Boot 应用程序的工具。

使用
SCDF
，开发人员可以通过定义和组合多个数据处理组件来构建复杂的数据处理和分析管道，同时也可以方便地部署、监控和管理这些管道。此外，
SCDF
还提供了一组标准化的组件，使得开发人员可以更加方便地构建数据处理管道，同时也能够保证这些组件的可靠性和互操作性。

漏洞详情

2024年6月4日，启明星辰
金睛安全研究团队
监控到Spring官方发布了
Spring Cloud Data
Flow 中的任意文件写入漏洞
CVE-2024-22263情报。

该漏洞的原因是
Spring Cloud
Skipper服务器接收到恶意的请求文件名及恶意的文件流数据后对恶意文件名处理不当，导致恶意文件无法正常删除，有权访问
Spring Cloud Skipper api接口的恶意用户可以构建恶意的上传请求将任意文件写入
Spring
Cloud Skipper文件系统上的任何位置。