Spring Cloud Data Flow < 2.11.3 存在任意文件写入漏洞 (CVE-2024-22263)

漏洞类型 任意文件上传 发现时间 2024-05-29 漏洞等级 严重
MPS编号 MPS-wj3y-50gb CVE编号 CVE-2024-22263 漏洞影响广度

漏洞危害

OSCS 描述
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。SCDF中一个核心组件Spring Cloud Skipper负责处理应用程序的部署、升级和回滚等操作。
在受影响版本中,Skipper Server在接收上传请求时对zip文件中的路径校验不严,具有 Skipper Server API 访问权限的攻击者可以通过上传请求将任意文件写入文件系统中的任意位置,从而获得服务器权限。
参考链接:https://www.oscs1024.com/hd/MPS-wj3y-50gb

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.springframework.cloud:spring-cloud-skipper-server-core [2.10.0, 2.11.3) 升级 将组件 org.springframework.cloud:spring-cloud-skipper-server-core 升级至 2.11.3 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-wj3y-50gb

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-wj3y-50gb

https://spring.io/security/cve-2024-22263

https://nvd.nist.gov/vuln/detail/CVE-2024-22463

https://github.com/spring-cloud/spring-cloud-dataflow/commit/2ac9bfa5c2f7cdcc86938ce036283a37008add31

(0)
上一篇 2024年5月30日
下一篇 2024年5月30日

相关推荐

  • Spring Cloud Data Flow < 2.11.3 存在任意文件写入漏洞 (CVE-2024-22263)

    漏洞类型 任意文件上传 发现时间 2024-05-29 漏洞等级 严重 MPS编号 MPS-wj3y-50gb CVE编号 CVE-2024-22263 漏洞影响广度 目录 隐藏 1 漏洞危害 2 影响范围及处置方案 2.1 OSCS 平台影响范围和处置方案 3 排查方式 漏洞危害 OSCS 描述 Spring Cloud Data Flow(SCDF)是一…

    漏洞 2024年5月30日 下午12:00
    0
  • 泛微 e-cology9 存在任意用户登录漏洞

    漏洞类型 身份验证不当 发现时间 2023/5/16 漏洞等级 高危 MPS编号 MPS-qj5s-7z0o CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微e-cology9部分版本中存在前台任意用户登录漏洞,由于系统默认配置固定密钥进行用户身份验证。当存在/m…

    2023年8月31日
    0
  • GitLab 账号接管漏洞 (CVE-2023-7028)

    漏洞类型 从非可信控制范围包含功能例程 发现时间 2024-01-12 漏洞等级 严重 MPS编号 MPS-vbt9-zgx1 CVE编号 CVE-2023-7028 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台 GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码,默认情况允许…

    2024年1月12日
    0
  • Google Chrome Navigation模块存在UAF漏洞 (CVE-2023-6112)

    漏洞类型 UAF 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-2wq5-6am8 CVE编号 CVE-2023-6112 漏洞影响广度 一般 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器,Navigation模块是其中负责处理网络通信、响应数据处理和渲染的重要模块。 由于MaybeSta…

    2023年11月16日
    0
  • Apache OFBiz 任意文件读取和 SSRF 漏洞 (CVE-2023-50968)

    漏洞类型 SSRF 发现时间 2023-12-26 漏洞等级 中危 MPS编号 MPS-e3rj-bani CVE编号 CVE-2023-50968 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。 在 getJSONuiLabelArray 接口的处理方法 CommonEvents.java#getJS…

    2023年12月28日
    0