PT-2024-7036 · Spring · Spring Cloud Data Flow
Fcgboy
+3
·
Publicado
2024-07-25
·
Atualizado
2024-10-22
·
CVE-2024-37084
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Spring Cloud Data Flow anteriores à 2.11.4
Descrição
Um usuário mal-intencionado com acesso à API do servidor Skipper pode usar uma solicitação de upload maliciosa para gravar um arquivo arbitrário em qualquer local do sistema de arquivos, o que pode comprometer o servidor. O problema está relacionado ao gerenciamento incorreto da geração de código. A exploração da vulnerabilidade pode permitir que um invasor remoto grave um arquivo em qualquer diretório do sistema usando uma solicitação de API especialmente formulada.
Recomendações
Para versões do Spring Cloud Data Flow anteriores à 2.11.4, atualize para a versão 2.11.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API do servidor Skipper para minimizar o risco de exploração. Evite usar a API para fazer upload de arquivos para locais confidenciais no servidor até que o problema seja resolvido.
Exploit
Correção
Path traversal
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Spring Cloud Data Flow