Schwachstelle in Spring Cloud Data Flow ermöglicht Schreibzugriff auf beliebige Dateien
Eine schwerwiegende Sicherheitslücke wurde in Spring Cloud Data Flow entdeckt, die es einem böswilligen Benutzer ermöglicht, beliebige Dateien auf dem Dateisystem zu schreiben. Diese Schwachstelle CVE-2024-22263 betrifft den Skipper-Server, der in der Lage ist, Upload-Paketanforderungen zu empfangen. Aufgrund unzureichender Überprüfung des Upload-Pfads kann ein Angreifer, der Zugang zur Skipper-Server-API hat, eine manipulierte Upload-Anforderung verwenden, um Dateien an beliebigen Speicherorten auf dem Dateisystem zu platzieren. Dies könnte zur vollständigen Kompromittierung des Servers führen.
Es wird dringend empfohlen, dass alle Benutzer, die die betroffenen Versionen verwenden, sofort auf die Version 2.11.3 oder höher aktualisieren, um diese Sicherheitslücke zu schließen.