一、基本情况
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在Cloud Foundry和Kubernetes中构建流式和批量数据处理管道。Spring Cloud Skipper是一个用于管理Spring Boot应用程序版本和生命周期的工具,它是Spring Cloud Data Flow的一个核心组件,负责处理应用程序的部署、升级和回滚等操作。
二、 漏洞描述
Spring Cloud Data Flow中修复了一个任意文件写入漏洞(CVE-2024-22263)。
该漏洞存在于Spring Cloud Data Flow的Spring Cloud Skipper组件中,由于Skipper Server在接收上传包请求时对上传路径清理不当,有权访问Skipper Server API的威胁者可以通过恶意设计的上传请求将任意文件写入文件系统上的任意位置,成功利用该漏洞可能导致服务器被破坏或控制。
三、 影响范围
Spring Cloud Skipper 2.11.0 - 2.11.2
Spring Cloud Skipper 2.10.x
四、 修复建议
目前该漏洞已经修复,受影响用户可更新到Spring Cloud Data Flow 2.11.3,或将Spring Cloud Skipper组件升级到2.11.3。
