• 漏洞编号：CVE-2024-22263
• 漏洞等级：高危
• 漏洞标签：POC已公开
• 发布时间：2024-06-19

漏洞描述

Spring Cloud Data Flow（SCDF）是一个基于微服务的工具包，用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。在受影响版本中，Skipper Server在接收上传请求时对zip文件中的路径校验不严，具有 Skipper Server API 访问权限的攻击者可以通过上传请求将任意文件写入文件系统中的任意位置，从而获得服务器权限。

修复建议

升级 Spring Cloud Skipper 至 2.11.3 及以上版本

参考链接

https://spring.io/security/cve-2024-22263

https://avd.aliyun.com/detail?id=AVD-2024-22263