BDU:2024-04517

Опубликовано: 23 мая 2024

Источник: fstec

CVSS3: 6.5

CVSS2: 6.8

EPSS Высокий

Описание

Уязвимость реализации прикладного программного интерфейса сервера менеджера пакетов Spring Cloud Skipper связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы

Вендор

Pivotal Software Inc.

Наименование ПО

Spring Cloud Skipper

Версия ПО

от 2.10.0 до 2.11.3 (Spring Cloud Skipper)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://spring.io/security/cve-2024-22263

Компенсирующие меры:

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS);

- использование межсетевого экрана уровня приложений (WAF) для обнаружения и блокировки вредоносных запросов;

- разграничение доступа к API сервера Spring-cloud-skipper-server только авторизованному персоналу;

- отслеживание журналов сервера на предмет подозрительной активности.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-22263
CVE

EPSS

Процентиль: 99%

0.77749

Высокий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2024-22263

CVSS3: 8.8

nvd

больше 1 года назад

Spring Cloud Data Flow is a microservices-based Streaming and Batch data processing in Cloud Foundry and Kubernetes. The Skipper server has the ability to receive upload package requests. However, due to improper sanitization for upload path, a malicious user who has access to skipper server api can use a crafted upload request to write arbitrary file to any location on file system, may even compromises the server.