Một lỗ hổng thực thi mã từ xa được xác thực trước đã được tiết lộ trong dotCMS, một hệ thống quản lý nội dung mã nguồn mở được viết bằng Java và “được sử dụng bởi hơn 10.000 khách hàng tại hơn 70 quốc gia trên toàn cầu, từ các thương hiệu Fortune 500 và các doanh nghiệp cỡ vừa.”
Lỗ hổng nghiêm trọng, được theo dõi là CVE-2022-26352, bắt nguồn từ một cuộc tấn công truyền tải thư mục khi thực hiện tải lên tệp, cho phép kẻ thù thực hiện các lệnh tùy ý trên hệ thống bên dưới.
“Kẻ tấn công có thể tải các tệp tùy ý lên hệ thống”, Shubham Shah của Assetnote cho biết trong một báo cáo. “Bằng cách tải lên tệp JSP vào thư mục gốc của tomcat, có thể thực hiện mã, dẫn đến thực thi lệnh.”
Nói cách khác, lỗ hổng tải lên tệp tùy ý có thể bị lạm dụng để thay thế các tệp đã tồn tại trong hệ thống bằng một web shell, sau đó có thể được sử dụng để có được quyền truy cập từ xa liên tục.
Mặc dù việc khai thác giúp ứng dụng có thể ghi vào các tệp javascript tùy ý, các nhà nghiên cứu cho biết bản chất của lỗi là nó có thể được vũ khí hóa để thực thi lệnh.
AssetNote cho biết họ đã phát hiện và báo cáo lỗ hổng vào ngày 21 tháng 2 năm 2022, sau đó các bản vá lỗi đã được phát hành trong các phiên bản 22.03, 5.3.8.10 và 21.06.7.
Công ty cho biết: “Khi các tệp được tải lên dotCMS thông qua API nội dung, nhưng trước khi chúng trở thành nội dung, dotCMS sẽ ghi tệp vào một thư mục tạm thời,” công ty cho biết. “Trong trường hợp có lỗ hổng này, dotCMS không khử trùng tên tệp được chuyển vào qua tiêu đề yêu cầu nhiều phần và do đó không khử trùng tên tệp tạm thời.”
“Trong trường hợp khai thác này, kẻ tấn công có thể tải một tệp .jsp đặc biệt lên thư mục webapp / ROOT của dotCMS có thể cho phép thực thi mã từ xa”, nó lưu ý.
.
