Spring Cloud Contract 信息泄漏漏洞 (CVE-2024-22236)

漏洞类型 未授权敏感信息泄露 发现时间 2024-01-31 漏洞等级 低危
MPS编号 MPS-nlih-a72m CVE编号 CVE-2024-22236 漏洞影响广度 广

漏洞危害

OSCS 描述
Spring Cloud Contract 是提供一种声明式的方式来创建HTTP和消息驱动的微服务应用之间的契约。
由于 Spring Cloud Contract 受影响版本中,org.springframework.cloud:spring-cloud-contract-shade 中依赖了受漏洞影响的 com.google.guava:guava 依赖组件,有权访问计算机的攻击者可以访问由 Guava API com.google.common.io.Files.createTempDir() 创建的临时目录中的数据。
参考链接:https://www.oscs1024.com/hd/MPS-nlih-a72m

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.springframework.cloud:spring-cloud-contract-shade [4.0.0, 4.0.5) 升级 将组件 org.springframework.cloud:spring-cloud-contract-shade 升级至 4.0.5 及以上版本
org.springframework.cloud:spring-cloud-contract-shade [4.1.0, 4.1.1) 升级 将组件 org.springframework.cloud:spring-cloud-contract-shade 升级至 4.1.1 及以上版本
org.springframework.cloud:spring-cloud-contract-shade [3.1.0, 3.1.10) 升级 将组件 org.springframework.cloud:spring-cloud-contract-shade 升级至 3.1.10 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-nlih-a72m

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-nlih-a72m

https://spring.io/security/cve-2024-22236

https://nvd.nist.gov/vuln/detail/CVE-2020-8908

(0)
上一篇 2024年1月30日 下午12:00
下一篇 2024年1月31日 下午10:00

相关推荐

  • Notepad++ Utf8_16_Read::convert 缓冲区溢出漏洞 (CVE-2023-40031)

    漏洞类型 经典缓冲区溢出 发现时间 2023-09-06 漏洞等级 高危 MPS编号 MPS-kvs6-ntuq CVE编号 CVE-2023-40031 漏洞影响广度 广 漏洞危害 OSCS 描述 Notepad++ 是一款开源的代码编辑器,Utf8_16_Read::convert 函数用于执行UTF16到UTF8的字符编码转换。 Notepad++ 8…

    2023年9月9日
    0
  • Apache Struts2 存在远程代码执行漏洞 (CVE-2023-50164)

    漏洞类型 对外部实体的文件或目录可访问 发现时间 2023-12-07 漏洞等级 严重 MPS编号 MPS-5qa9-hjgt CVE编号 CVE-2023-50164 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Struts是美国阿帕奇(Apache)基金会的开源Web项目,是一套用于创建企业级Java Web应用的开源MVC框架。 在受影响…

    2023年12月8日
    0
  • Apache OFBiz <12.12.18 路径遍历漏洞 (CVE-2024-25065)

    漏洞类型 路径遍历 发现时间 2024-02-29 漏洞等级 高危 MPS编号 MPS-rfy8-vc9m CVE编号 CVE-2024-25065 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。 Apache OFBiz 中由于未充分验证用户输入的 contextPath 而导致存在路径遍历漏洞,未授权…

    2024年2月29日
    0
  • Jenkins CLI 任意文件读取漏洞导致远程代码执行风险 (CVE-2024-23897)

    漏洞类型 路径遍历 发现时间 2024-01-24 漏洞等级 高危 MPS编号 MPS-nw0b-89j6 CVE编号 CVE-2024-23897 漏洞影响广度 一般 漏洞危害 OSCS 描述 Jenkins CLI 是 Jenkins 内置的命令行页面。 Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的…

    2024年1月25日
    0
  • F5 BIG-IP 远程代码执行漏洞 (CVE-2023-46747)

    漏洞类型 使用候选路径或通道进行的认证绕过 发现时间 2023-10-27 漏洞等级 严重 MPS编号 MPS-79fi-qctw CVE编号 CVE-2023-46747 漏洞影响广度 广 漏洞危害 OSCS 描述 F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS,远程接入策略管理等功能的应用交付平台。 F5 BIG-IP通过Ap…

    2023年10月27日
    0