GHSL-2020-066:服务器端模板注入(SSTI)导致Apache OfBiz中的远程代码执行(RCE)

协调披露时间表

• 2020年4月13日：报告已发送给供应商。

• 2020年4月23日：OfBiz维护人员认识到此问题。

• 2020年4月23日：根据Apache政策，无论身份提升还是XSS问题（包括可以通过GHSL-2020-068中报告的XSS触发的此漏洞），都不会针对身份验证后的漏洞发布CVE。

• 201/01/10 /：在17.12.05中解决

概要

Apache OfBiz容易受到服务器端模板注入（SSTI）的影响，从而导致远程代码执行（RCE）

产品

apache

测试版本

17.12.01

细节

服务器端模板注入 renderSortField

早在2016年就报告了服务器端模板注入（SSTI），其分配为CVE-2016-4462。提交的修复有两个方面：

• linkUrl = URLEncoder.encode(linkUrl, "UTF-8");

• sr.append("\" linkUrl=r\"");

但是，此修复程序的第二部分无效，因为攻击者可以raw string使用双引号关闭上下文并编写新属性，甚至关闭宏标签并编写任意FreeMarker代码。

不幸的是，此修复程序的第一部分在稍后阶段被删除，从而再次启用了SSTI，并使OfBiz容易受到远程代码执行（RCE）的攻击。

以下链接将执行id命令并将其打印到页面中每个可排序的文件中：

https://localhost/ordermgr/control/FindRequest?foo=bar%22ajaxEnabled=false/%3E%24%7b%22freemarker%2etemplate%2eutility%2eExecute%22%3fnew%28%29%28%22id%22%29%7d%3CFOO

请注意，可排序字段在后端应用程序的多个模块中使用，并且它们需要不同的权限。

影响力

这个问题导致 Remote Code Execution