Spring Cloud Contract 信息泄漏漏洞(CVE-2024-22236)
CVE编号
CVE-2024-22236利用情况
暂无补丁情况
N/A披露时间
2024-01-31漏洞描述
Spring Cloud Contract 是提供一种声明式的方式来创建HTTP和消息驱动的微服务应用之间的契约。 由于 Spring Cloud Contract 受影响版本中,org.springframework.cloud:spring-cloud-contract-shade 中依赖了受漏洞影响的 com.google.guava:guava 依赖组件,有权访问计算机的攻击者可以访问由 Guava API com.google.common.io.Files.createTempDir() 创建的临时目录中的数据。解决建议
"将组件 org.springframework.cloud:spring-cloud-contract-shade 升级至 3.1.10 及以上版本""将组件 org.springframework.cloud:spring-cloud-contract-shade 升级至 4.0.5 及以上版本""将组件 org.springframework.cloud:spring-cloud-contract-shade 升级至 4.1.1 及以上版本"
参考链接 |
|
|---|---|
| https://spring.io/security/cve-2024-22236 |
- 攻击路径 本地
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论