ГлавнаяБаза уязвимостей БДУ → BDU:2024-04517
6.8средняя

BDU:2024-04517 (CVE-2024-22263)

Уязвимость реализации прикладного программного интерфейса сервера менеджера пакетов Spring Cloud Skipper, позволяющая нарушителю записывать произвольные файлы
Опубликовано: 2024-06-14
Описание

Уязвимость реализации прикладного программного интерфейса сервера менеджера пакетов Spring Cloud Skipper связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы

Затрагиваемое ПО и версии
Spring Cloud Skipper (от 2.10.0 до 2.11.3)
Способ устранения

Использование рекомендаций:
https://spring.io/security/cve-2024-22263

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS);
- использование межсетевого экрана уровня приложений (WAF) для обнаружения и блокировки вредоносных запросов;
- разграничение доступа к API сервера Spring-cloud-skipper-server только авторизованному персоналу;
- отслеживание журналов сервера на предмет подозрительной активности.

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://security.snyk.io/vuln/SNYK-JAVA-ORGSPRINGFRAMEWORKCLOUD-7151914https://securityonline.info/cve-2024-22263-flaw-in-spring-cloud-data-flow-could-lead-to-server-takeover/https://spring.io/security/cve-2024-22263https://spring.io/projects/spring-cloud-skipperhttps://github.com/spring-cloud/spring-cloud-dataflow/tree/main/spring-cloud-skipper
Проверьте безопасность своего сайта и почты → Полная проверка домена