【漏洞通告】Spring Cloud Data Flow任意文件写入漏洞（CVE-2024-22263）

文章预览

一、漏洞 概述 漏洞名称    Spring Cloud Data Flow任意文件写入漏洞 CVE   ID CVE-2024-22263 漏洞类型 文件写入 发现时间 2024-05-29 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Spring Cloud Data Flow（SCDF）是一个基于微服务的工具包，用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。Spring Cloud Skipper 是一个用于管理 Spring Boot 应用程序版本和生命周期的工具，它是Spring Cloud Data Flow的一个核心组件，负责处理应用程序的部署、升级和回滚等操作。 2024年5月29日，启明星辰集团VSRC监测到Spring Cloud Data Flow中修复了一个任意文件写入漏洞（CVE-2024-22263）。 该漏洞存在于Spring Cloud Data Flow 的Spring Cloud Skipper组件中，由于Skipper Server在接收上传包请求时对上传路径清理不当，有权访问 Skipper Ser ………………………………