CVE-2024-22263 Spring Cloud Data Flow 任意文件写入漏洞分析
漏洞描述
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。SCDF中一个核心组件Spring Cloud Skipper负责处理应用程序的部署、升级和回滚等操作。
在受影响版本中,Skipper Server 在接收上传请求时对zip文件中的路径校验不严,具有 Skipper Server API 访问权限的攻击者可以通过上传请求将任意文件写入文件系统中的任意位置,从而获得服务器权限。
影响范围
2.11.0 - 2.11.2
2.10.x
环境搭建
官方的 docker https://dataflow.spring.io/docs/installation/local/docker/
漏洞分析
- 本文标题:CVE-2024-22263 Spring Cloud Data Flow 任意文件写入漏洞分析
- 创建时间:2024-06-17 16:32:09
- 本文链接:2024/06/17/CVE-2024-22263-Spring-Cloud-Data-Flow-任意文件写入漏洞分析/
- 版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
评论