Описание
Уязвимость прикладного программного интерфейса сервера Skipper микросервисной платформы Spring Cloud Data Flow связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать файл в любую директорию системы с помощью специально сформированного API-запроса
Вендор
Pivotal Software Inc.
Наименование ПО
Spring Cloud Skipper
Версия ПО
от 2.11.0 до 2.11.4 (Spring Cloud Skipper)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование «белого» списка IP-адресов для ограничения доступа к прикладному программному интерфейсу (API);
- использование средств предотвращения вторжений для блокирования попыток эксплуатации уязвимости.
Использование рекомендаций:
https://spring.io/security/cve-2024-37084
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 99%
0.83304
Высокий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
больше 1 года назад
In Spring Cloud Data Flow versions prior to 2.11.4, a malicious user who has access to the Skipper server api can use a crafted upload request to write an arbitrary file to any location on the file system which could lead to compromising the server
CVSS3: 9.8
github
больше 1 года назад
Remote code execution in Spring Cloud Data Flow
EPSS
Процентиль: 99%
0.83304
Высокий
9.8 Critical
CVSS3
10 Critical
CVSS2