Spring Cloud Data Flow(SCDF)是一个微服务工具集,专为Cloud Foundry和Kubernetes设计,用于创建流式和批量数据处理管道。近期,SCDF的Skipper服务器被发现存在安全漏洞,允许攻击者通过API上传恶意YAML文件至服务器任意位置,进而执行任意代码。
该漏洞存在于SCDF的特定版本中,由于Skipper服务器处理文件上传时未对路径进行充分验证,加之PackageMetadata对象在创建时使用了不安全的反序列化方法,导致攻击者可以利用这一漏洞。幸运的是,开发者已通过更新YAML解析器的构造器为SafeConstructor,确保数据安全反序列化,从而修复了这一问题。
漏洞详情
- 名称:Spring Cloud Data Flow 远程代码执行漏洞
- 类型:任意文件上传
- 发现时间:2024年7月25日
- MPS编号:MPS-mt2n-e50y
- CVE编号:CVE-2024-37084
- 影响范围:org.springframework.cloud:spring-cloud-skipper版本2.11.0至2.11.4
修复建议
为避免受到该漏洞的影响,建议用户将org.springframework.cloud:spring-cloud-skipper组件升级至2.11.4或更高版本。这一升级操作可以有效防止恶意文件上传和远程代码执行的风险,保障系统安全。