Spring Cloud Contract 信息泄漏漏洞 (CVE-2024-22236)

漏洞类型 未授权敏感信息泄露 发现时间 2024-01-31 漏洞等级 低危
MPS编号 MPS-nlih-a72m CVE编号 CVE-2024-22236 漏洞影响广度 广

漏洞危害

OSCS 描述
Spring Cloud Contract 是提供一种声明式的方式来创建HTTP和消息驱动的微服务应用之间的契约。
由于 Spring Cloud Contract 受影响版本中,org.springframework.cloud:spring-cloud-contract-shade 中依赖了受漏洞影响的 com.google.guava:guava 依赖组件,有权访问计算机的攻击者可以访问由 Guava API com.google.common.io.Files.createTempDir() 创建的临时目录中的数据。
参考链接:https://www.oscs1024.com/hd/MPS-nlih-a72m

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.springframework.cloud:spring-cloud-contract-shade [4.0.0, 4.0.5) 升级 将组件 org.springframework.cloud:spring-cloud-contract-shade 升级至 4.0.5 及以上版本
org.springframework.cloud:spring-cloud-contract-shade [4.1.0, 4.1.1) 升级 将组件 org.springframework.cloud:spring-cloud-contract-shade 升级至 4.1.1 及以上版本
org.springframework.cloud:spring-cloud-contract-shade [3.1.0, 3.1.10) 升级 将组件 org.springframework.cloud:spring-cloud-contract-shade 升级至 3.1.10 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-nlih-a72m

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-nlih-a72m

https://spring.io/security/cve-2024-22236

https://nvd.nist.gov/vuln/detail/CVE-2020-8908

(0)
上一篇 2024年1月30日 下午12:00
下一篇 2024年1月31日 下午10:00

相关推荐

  • curl 存在 fopen 竞争条件漏洞 (CVE-2023-32001) [有POC]

    漏洞类型 竞争条件 发现时间 2023/7/27 漏洞等级 中危 MPS编号 MPS-jgni-u9se CVE编号 CVE-2023-32001 漏洞影响广度 广 漏洞危害 OSCS 描述 curl 是一个跨平台的用于数据传输的开源工具。curl 8.2.0之前版本中由于 fopen#Curl_fopen 方法中的 stat(filename, &…

    2023年8月11日
    0
  • Apache OFBiz 任意文件读取和 SSRF 漏洞 (CVE-2023-50968)

    漏洞类型 SSRF 发现时间 2023-12-26 漏洞等级 中危 MPS编号 MPS-e3rj-bani CVE编号 CVE-2023-50968 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。 在 getJSONuiLabelArray 接口的处理方法 CommonEvents.java#getJS…

    2023年12月28日
    0
  • MLflow < 2.10.0 任意文件读取漏洞(is_local_uri绕过) (CVE-2024-3573)

    漏洞类型 路径遍历 发现时间 2024-04-16 漏洞等级 严重 MPS编号 MPS-18es-qbvo CVE编号 CVE-2024-3573 漏洞影响广度 小 漏洞危害 OSCS 描述 MLflow 是用于机器学习全生命周期管理的开源工具。 在MLflow < 2.10.0 中,is_local_uri 方法在验证输入的文件路径时缺少对URI的检查,错...

    漏洞 2天前
    0
  • VMware Aria Operations SSH 身份验证绕过漏洞 (CVE-2023-34039)

    漏洞类型 身份验证不当 发现时间 2023-08-30 漏洞等级 严重 MPS编号 MPS-d9wr-56qm CVE编号 CVE-2023-34039 漏洞影响广度 广 漏洞危害 OSCS 描述 VMware Aria Operations for Networks 是 VMware 公司提供的一款网络可视性和分析工具,用于优化网络性能或管理各种VMwar…

    2023年9月1日
    0
  • sentry/nextjs <7.77.0 SSRF漏洞 (CVE-2023-46729)

    漏洞类型 SSRF 发现时间 2023-11-10 漏洞等级 严重 MPS编号 MPS-eg1f-zcy9 CVE编号 CVE-2023-46729 漏洞影响广度 一般 漏洞危害 OSCS 描述 Sentry是一个开源的实时事件日志监控、记录和聚合平台,Sentry Next.js 是 JavaScript 官方 Sentry SDK 由于没有使用正确的正则…

    2023年11月10日
    0