Autentizovanému vzdálenému útočníkovi je umožněno zapsat libovolný soubor na jakékoli místo v souborovém systému kvůli nesprávné sanitaci cesty při nahrávání souborů na server Skipper, což může vést ke kompromitaci celého serveru [1].

Zranitelnost se nachází v produktu Spring Cloud Skipper ve verzích >=2.10.0 AND <=2.11.2.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-22263 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-434: Unrestricted Upload of File with Dangerous Type at cwe.mitre.org

Zranitelnost byla veřejně oznámena 23. 5. 2024.