Описание
In Spring Cloud Data Flow versions prior to 2.11.4, a malicious user who has access to the Skipper server api can use a crafted upload request to write an arbitrary file to any location on the file system which could lead to compromising the server
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 2.11.0 (включая) до 2.11.4 (исключая)
cpe:2.3:a:vmware:spring_cloud_data_flow:*:*:*:*:*:*:*:*
EPSS
Процентиль: 99%
0.83304
Высокий
9.8 Critical
CVSS3
8.8 High
CVSS3
Дефекты
NVD-CWE-noinfo
CWE-94
Связанные уязвимости
CVSS3: 9.8
github
больше 1 года назад
Remote code execution in Spring Cloud Data Flow
CVSS3: 9.8
fstec
больше 1 года назад
Уязвимость прикладного программного интерфейса сервера Skipper микросервисной платформы Spring Cloud Data Flow, позволяющая нарушителю записать файл в любую директорию системы с помощью специально сформированного API-запроса
EPSS
Процентиль: 99%
0.83304
Высокий
9.8 Critical
CVSS3
8.8 High
CVSS3
Дефекты
NVD-CWE-noinfo
CWE-94