0x00 前言
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。SCDF中一个核心组件Spring Cloud Skipper负责处理应用程序的部署、升级和回滚等操作。
0x01 漏洞描述
受影响版本中,Skipper Server在接收上传请求时对zip文件中的路径校验不严,具有 Skipper Server API 访问权限的攻击者可以通过上传请求将任意文件写入文件系统中的任意位置,从而获得服务器权限。
0x02 CVE编号
CVE-2024-22263
0x03 影响版本
Spring Cloud Skipper 2.11.0 - 2.11.2
Spring Cloud Skipper 2.10.x
0x04 漏洞详情
https://spring.io/security/cve-2024-22263
0x05 参考链接
https://spring.io/security/cve-2024-22263
本公众号的文章及工具仅提供学习参考,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用者本人负责,本公众号及文章作者不为此承担任何责任。
