[TLP:CLEAR] VMware Spring Cloud Skipper opravuje kritickou zranitelnost
VMware Spring Cloud Skipper verzí 2.11.3 opravuje vysoce závažnou zranitelnost [1].
Autentizovanému vzdálenému útočníkovi je umožněno zapsat libovolný soubor na jakékoli místo v souborovém systému kvůli nesprávné sanitaci cesty při nahrávání souborů na server Skipper, což může vést ke kompromitaci celého serveru [1].
Zranitelnost se nachází v produktu Spring Cloud Skipper ve verzích >=2.10.0 AND <=2.11.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-22263 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-434: Unrestricted Upload of File with Dangerous Type at cwe.mitre.org
Zranitelnost byla veřejně oznámena 23. 5. 2024.
Odkazy
Publikovala Michaela Mačalíková dne 21. 6. 2024.
