【風(fēng)險通告】Apache Unomi遠程代碼執(zhí)行
2020-11-19 00:00:00
近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Unomi存在遠程代碼執(zhí)行漏洞�����。該漏洞編號為CVE-2020-13942,CVS評分10.0���,風(fēng)險等級為嚴重�。
該漏洞危害嚴重�����,利用成本較低���,且相關(guān)利用POC已公開��,請使用了Apache Unomi的用戶盡快升級到安全版本��,避免遭受惡意攻擊�����。
漏洞描述
Apache Unomi允許遠程攻擊者發(fā)送使用MVEL和OGNL表達式的惡意請求�����,從而導(dǎo)致可使用Unomi服務(wù)的特權(quán)進行遠程命令執(zhí)行��。MVEL和OGNL表達式是Unomi應(yīng)用中兩個不同內(nèi)部包中的表達式�,攻擊者利用該漏洞可以成功繞過1.5.1版本中的安全控制,可以在兩個不同的位置造成RCE攻擊���。
Unomi服務(wù)通常與內(nèi)網(wǎng)中的各種數(shù)據(jù)存儲和數(shù)據(jù)分析系統(tǒng)集成��。該漏洞通過公共端點觸發(fā)�,使攻擊者能夠在易受攻擊的服務(wù)器上運行操作系統(tǒng)命令����。易受攻擊的公共端點使Unomi成為入侵內(nèi)網(wǎng)的理想入口點,進一步利用可在內(nèi)網(wǎng)橫移�,危害極大。
風(fēng)險等級
嚴重
影響版本
Apache Unomi < 1.5.2
修復(fù)建議
1. 升級到Apache Unomi 1.5.2版本
2. 盡可能避免將數(shù)據(jù)放入表達式解釋器中
參考鏈接
[1]https://securityboulevard.com/2020/11/apache-unomi-cve-2020-13942-rce-vulnerabilities-discovered/?utm_source=dlvr.it&utm_medium=twitter
[2]http://unomi.apache.org/download.html
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/11/19