Уязвимость прикладного программного интерфейса сервера Skipper микросервисной платформы Spring Cloud Data Flow связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать файл в любую директорию системы с помощью специально сформированного API-запроса
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование «белого» списка IP-адресов для ограничения доступа к прикладному программному интерфейсу (API);
- использование средств предотвращения вторжений для блокирования попыток эксплуатации уязвимости.
Использование рекомендаций:
https://spring.io/security/cve-2024-37084
| Балл | 10 — критическая опасность |