Уязвимость BDU:2024-04517
Идентификатор: BDU:2024-04517.
Наименование уязвимости: Уязвимость реализации прикладного программного интерфейса сервера менеджера пакетов Spring Cloud Skipper, позволяющая нарушителю записывать произвольные файлы.
Описание уязвимости: Уязвимость реализации прикладного программного интерфейса сервера менеджера пакетов Spring Cloud Skipper связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записывать произвольные файлы
Уязвимое ПО: Прикладное ПО информационных систем Pivotal Software Inc. Spring Cloud Skipper от 2.10.0 до 2.11.3 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 23.05.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:N/I:C/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению:
Использование рекомендаций:
https://spring.io/security/cve-2024-22263
Компенсирующие меры:
— использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS);
— использование межсетевого экрана уровня приложений (WAF) для обнаружения и блокировки вредоносных запросов;
— разграничение доступа к API сервера Spring-cloud-skipper-server только авторизованному персоналу;
— отслеживание журналов сервера на предмет подозрительной активности..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-22263.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://security.snyk.io/vuln/SNYK-JAVA-ORGSPRINGFRAMEWORKCLOUD-7151914
https://securityonline.info/cve-2024-22263-flaw-in-spring-cloud-data-flow-could-lead-to-server-takeover/
https://spring.io/security/cve-2024-22263
https://spring.io/projects/spring-cloud-skipper
https://github.com/spring-cloud/spring-cloud-dataflow/tree/main/spring-cloud-skipper
