| 小百科,大世界 | ||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 首页 / 计算机 / 最新漏洞 | ||||||||||||||||||||||||||||
[5]Spring Cloud Data Flow 远程代码执行漏洞CVE-2024-37084 繁體 |
||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||
高危 Spring Cloud Data Flow 远程代码执行漏洞(CVE-2024-37084)CVE编号
CVE-2024-37084
利用情况
POC 已公开
补丁情况
官方补丁
披露时间
2024-07-25
漏洞描述
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。在受影响版本中Skipper 服务器在处理文件上传时没有对路径进行验证,拥有 Skipper 服务器 API 访问权限攻击者可以通过构造恶意请求将 YAML 文件写入服务器的任意位置,同时由于 PackageMetadata 的创建过程中使用默认构造器反序列化 YAML 数据,从而导致任意代码执行。
解决建议
建议升级 Spring Cloud Skipper 至2.11.4 及以上版本
受影响软件情况
[来源: 阿里云] |
||||||||||||||||||||||||||||
| 首页 / 计算机 / 最新漏洞 | ||||||||||||||||||||||||||||
| 资源来自网络,仅供参考 |