• 漏洞编号：CVE-2024-37084
• 漏洞等级：严重
• 漏洞标签：发布预警、公开漏洞
• 发布时间：2024-07-25

漏洞描述

Spring Cloud Data Flow（SCDF）是一个基于微服务的工具包，用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。 受影响版本中，Skipper 服务器在处理文件上传时没有对路径进行适当的验证和清理，拥有 Skipper 服务器 API 访问权限攻击者可以通过构造恶意请求将 YAML 文件写入服务器的任意位置，同时由于 PackageMetadata 的创建过程中使用默认构造器反序列化 YAML 数据，从而导致任意代码执行。 修复版本中，将 YAML 解析器的构造器替换为 SafeConstructor，确保 YAML 数据能够安全反序列化为 PackageMetadata 对象，以修复漏洞。

修复建议

1. 将组件 org.springframework.cloud:spring-cloud-skipper 升级至 2.11.4 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-mt2n-e50y

https://github.com/spring-cloud/spring-cloud-dataflow/pull/5871/commits/bcb060d8ba985a851a1efb15bcc85653293b7eef

https://github.com/spring-cloud/spring-cloud-dataflow/pull/5871

https://spring.io/security/cve-2024-37084

https://www.oscs1024.com/hd/MPS-mt2n-e50y