【風險通告】Apache Unomi遠程代碼執(zhí)行
2020-11-19 00:00:00
近日����,金山云安全應急響應中心監(jiān)測到Apache Unomi存在遠程代碼執(zhí)行漏洞。該漏洞編號為CVE-2020-13942����,CVS評分10.0,風險等級為嚴重����。
該漏洞危害嚴重,利用成本較低�,且相關利用POC已公開,請使用了Apache Unomi的用戶盡快升級到安全版本���,避免遭受惡意攻擊��。
漏洞描述
Apache Unomi允許遠程攻擊者發(fā)送使用MVEL和OGNL表達式的惡意請求�����,從而導致可使用Unomi服務的特權進行遠程命令執(zhí)行����。MVEL和OGNL表達式是Unomi應用中兩個不同內部包中的表達式,攻擊者利用該漏洞可以成功繞過1.5.1版本中的安全控制��,可以在兩個不同的位置造成RCE攻擊���。
Unomi服務通常與內網中的各種數據存儲和數據分析系統集成���。該漏洞通過公共端點觸發(fā),使攻擊者能夠在易受攻擊的服務器上運行操作系統命令�。易受攻擊的公共端點使Unomi成為入侵內網的理想入口點,進一步利用可在內網橫移�,危害極大。
風險等級
嚴重
影響版本
Apache Unomi < 1.5.2
修復建議
1. 升級到Apache Unomi 1.5.2版本
2. 盡可能避免將數據放入表達式解釋器中
參考鏈接
[1]https://securityboulevard.com/2020/11/apache-unomi-cve-2020-13942-rce-vulnerabilities-discovered/?utm_source=dlvr.it&utm_medium=twitter
[2]http://unomi.apache.org/download.html
北京金山云網絡技術有限公司
2020/11/19