Spring Cloud Data Flow 远程代码执行漏洞

漏洞描述

Spring Cloud Data Flow（SCDF）是一个基于微服务的工具包，用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。

受影响版本中，Skipper 服务器在处理文件上传时没有对路径进行适当的验证和清理，拥有 Skipper 服务器 API 访问权限攻击者可以通过构造恶意请求将 YAML 文件写入服务器的任意位置，同时由于 PackageMetadata 的创建过程中使用默认构造器反序列化 YAML 数据，从而导致任意代码执行。

修复版本中，将 YAML 解析器的构造器替换为 SafeConstructor，确保 YAML 数据能够安全反序列化为 PackageMetadata 对象，以修复漏洞。

漏洞名称	Spring Cloud Data Flow 远程代码执行漏洞
漏洞类型	任意文件上传
发现时间	2024-07-25
漏洞影响广度	-
MPS编号	MPS-mt2n-e50y
CVE编号	CVE-2024-37084
CNVD编号	-

影响范围

org.springframework.cloud:spring-cloud-skipper@[2.11.0, 2.11.4)

修复方案

将组件 org.springframework.cloud:spring-cloud-skipper 升级至 2.11.4 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-mt2n-e50y

https://github.com/spring-cloud/spring-cloud-dataflow/pull/5871/commits/bcb060d8ba985a851a1efb15bcc85653293b7eef

https://github.com/spring-cloud/spring-cloud-dataflow/pull/5871

https://spring.io/security/cve-2024-37084

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc