ГлавнаяБаза уязвимостей БДУ → BDU:2024-08290
10критическая

BDU:2024-08290 (CVE-2024-37084)

Уязвимость прикладного программного интерфейса сервера Skipper микросервисной платформы Spring Cloud Data Flow, позволяющая нарушителю записать файл в любую директорию системы с помощью специально сформированного API-запроса
Опубликовано: 2024-10-23
Описание

Уязвимость прикладного программного интерфейса сервера Skipper микросервисной платформы Spring Cloud Data Flow связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать файл в любую директорию системы с помощью специально сформированного API-запроса

Затрагиваемое ПО и версии
Spring Cloud Skipper (от 2.11.0 до 2.11.4)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование «белого» списка IP-адресов для ограничения доступа к прикладному программному интерфейсу (API);
- использование средств предотвращения вторжений для блокирования попыток эксплуатации уязвимости.

Использование рекомендаций:
https://spring.io/security/cve-2024-37084

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://spring.io/security/cve-2024-37084https://github.com/A0be/CVE-2024-37084-Exp
Проверьте безопасность своего сайта и почты → Полная проверка домена