漏洞深度分析|CVE-2023-25141 sling-org-apache-sling-jcr-base存在JNDI注入漏洞

news2024/11/15 21:30:21

项目介绍

Apache Sling提供对可插入资源提供程序的支持。虽然这允许将自定义数据提供程序非常灵活和高效地集成到Sling中,但这种集成是在Sling的资源 API 级别上完成的。可能依赖于能够将资源适配到JCR节点并继续使用JCR API的遗留代码将不适用于此类资源提供者。

为了支持遗留代码,这个包提供了一个SPI接口org.apache.sling.jcr.base.spi.RepositoryMount,它扩展了JackrabbitRepository(并通过这个javax.jcr.Repository)。注册为RepositoryMount的服务使用服务注册属性 RepositoryMount.MOUNT_POINTS_KEY 注册自己,是一个 String+ 属性,包含 JCR 树中的路径,其中挂载接管 JCR 节点的控制。RepositoryMount可以注册在一个或多个路径。

由于RepositoryMount扩展了JackrabbitRepository挂载的实现需要实现整个 JCR API。ResourceProvider相比,这是很多工作,因此只有在需要支持使用 JCR API 的遗留代码时才应使用RepositoryMount

JCR 基础包提供 JCR 实用程序类和对存储库安装的支持。

项目地址

GitHub - apache/sling-org-apache-sling-jcr-base: Apache Sling JCR Base Bundle

Apache Sling :: Apache Sling - Bringing Back the Fun!

漏洞概述

在 JDK 1.8.191 或更低版本中运行 Apache Sling JCR Base 且项目版本小于 3.1.12 时可能存在注入漏洞,由于 RepositoryAccessor.java 中的 getRepository 方法和 getRepositoryFromURL 方法对传入的参数验证不当导致 JNDI 或 RMI 注入漏洞。远程攻击者可以通过 JDNI 和 RMI 连接访问存储在服务器上的任意数据。

影响版本

org.apache.sling:org.apache.sling.jcr.base@(-∞, 3.1.12)

环境搭建

下载源码,运行构建即可。

漏洞分析

sling 项目的jcr基础库(/sling-org-apache-sling-jcr-base)提供两个函数

RepositoryAccessor#getRepository 和 RepositoryAccessor#getRepositoryFromURL

其中 RepositoryAccessor#getRepositoryFromURL

这个函数的功能是根据给定的 URL 获取仓库对象 Repository,这个函数可能是为应用程序提供访问存储在远程位置的数据的方法

 

该函数将传入的 jndi name 和 内容传给类里的另一个函数 RepositoryAccessor#getRepository

 

这个函数的作用是根据给定的 URL 获取仓库对象 Repository。

函数的参数:

  • url:一个字符串,表示仓库对象的 URL。

函数的返回值:

  • 如果成功获取仓库对象,则返回仓库对象。
  • 如果无法获取仓库对象,则抛出异常。

如果 URL 的前缀是 "jndi://",则函数会尝试从 JNDI 环境获取仓库对象。否则,它会使用 getRepository 函数尝试从 JNDI 和 RMI 两种途径获取仓库对象。

但是存在直接使用 initialContext.lookup(repositoryName) 的漏洞点,

仅存在一个if判断 jndiContext 是否为空或大小是否为 0,并未对用户可控的值进行检查

source点如下所示

 lookup存在两个重载

 

看一下 lookup 的调用方法,传进 InitialContext#getURLOrDefaultInitCtx

 

lookup 拿到 name ,getURLScheme匹配 :和 /;之后获取链接内容,getURLContext 解释包含样例

For example, if the scheme id is "ldap", and the Context. URL_PKG_PREFIXES property contains "com.widget:com.wiz. jndi", the naming manager would attempt to load the following classes until one is successfully instantiated:
· com.widget.ldap.ldapURLContextFactory
· com.wiz.jndi.ldap.ldapURLContextFactory
· com.sun.jndi.url.ldap.ldapURLContextFactory

而我们可以控制 lookup 函数的参数,使客户端访问提前设置好的恶意的 RMI 服务链接来加载恶意的对象class 字节码文件来实例化,从而执行代码,完成利用。

该类并不存在任何黑/白名单对用户传入进行过滤,用户可直接传入rmi 恶意链接执行命令。确定该处存在 jndi注入,可被利用导致命令执行

修复方式

 组件 org.apache.sling:org.apache.sling.jcr.base 升级至 3.1.12 及以上版本

参考链接

NVD - CVE-2023-25141

查看更多安全漏洞:快速查询安全漏洞 | 柒巧板

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/350748.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

微信小程序自动化测试最佳实践(附 Python 源码)

目录:导读 小程序运行环境 微信小程序技术架构 使用 Chrome 调试小程序 小程序的性能测试 微信小程序的自动化测试​编辑 源码-微信小程序自动化测试 Python 版代码示例 小程序自动化测试需要跨过的几个坎 写在最后 随着微信小程序的功能和生态日益完善&…

“一号文件”聚焦三农,VR全景助农发展数字化

一号文件为何如此聚焦三农?因为三农是拼经济的基础,也是筑牢底盘的基本保证。现如今,农业基础还不稳固,而且城乡区域发展和居民收入差距依旧较大,为了解决城乡发展不平衡、农村发展不充分等矛盾,发展数字化…

Fuzz概述

文章目录AFL一些概念插桩与覆盖率边和块覆盖率afl自实现劫持汇编器clang内置覆盖率反馈与引导变异遗传算法fork server机制AFL调试准备AFL一些概念 插桩与覆盖率 边和块 首先,要明白边和块的定义 正方形的就是块,箭头表示边,边表示程序执行…

java有关类的初始化的分析

什么是类? 类是具有相同状态和相同行为的一组对象的集合 什么是对象? 万事万物皆为对象,可以理解为具体的个体就是对象 什么是面向对象的编程? 就是只在乎结果而不在乎过程,怎么理解这句话?举个例子&#x…

彻底废了,去干了两年外包...

先说一下自己的情况。大专生,17年通过校招进入湖南某软件公司,干了接近2年的点点点,今年年上旬,感觉自己不能够在这样下去了,长时间呆在一个舒适的环境会让一个人堕落!而我已经在一个企业干了五年的功能测试…

MacOS Ventura 13.2.1 (22D68) 正式版带 OC 0.8.9 and winPE 双分区原版黑苹果镜像

2 月 14 日消息,苹果今日向 Mac 电脑用户推送了 macOS 13.2.1 更新(内部版本号:22D68),本次距离上次发布隔了 21 天,以修复Bug和安全更新为主。 镜像下载: 微信公众号: MacOS Vent…

docker 查看和分析镜像内文件

docker inspect docker inspect node:alpine查看元数据信息,一共有三层 "RootFS": {"Type": "layers","Layers": ["sha256:8c6806a0692459f603d074b4a7bdd38915650f1563f4ec728dad229475a52090","sha256:…

Python学习-----函数4.0(递归函数习题)

目录 递归算法 1.进制数转换 2.阶乘递归 3.递归获取两个数之间最小公倍数 4.递归获取两个数字之间最大公约数 5.斐波那契数列 5.递归求得数列的最值 6.倒序输出 7.递归二分法查找 递归算法 递归算法是把问题转化为规模缩小了的同类问题的子问题。然后递归调用函数(或过…

部署JDK+tomcat上线jspgou项目

系列文章目录 文章目录系列文章目录一、前言二、Tomcat部署1、Tomcat Http Server2、安装MySQL3、部署jspgou(电子商城)一、前言 什么是JAVA虚拟机 所谓虚拟机,就是一台虚拟的计算机。他是一款软件,用来执行一系列虚拟计算机指令…

背景透明(opacity vs background)

最近在做项目的时候,遇到透明度的相关设置。 常用的背景透明设置可分为两种,分别是: 一是给background设置透明度。二是利用opacity属性。 在跳了一些坑之后,本人更推荐给background设置透明度,为什么呢?…

【QCA6174】SDX12 WiFi QCA6174 bdwlan30.bin和bdwlan30.txt相互转化操作说明

1.从高通获bin文件和txt文件相互转化工具 软件包名称 QCA6174_BDF_Converter.zip 2.解压工具包,解压之后包括以下文件 3.从sdx12 sdk拷贝bdwlan30.bin 路径如下,将bdwlan30.bin放到QCA6174_BDF_Converter目录下 ./cnss_proc_firmware/cnss_proc/wlan…

Twitter账号老被封?一文教会你怎么养号

昨天龙哥给大家科普完要怎么批量注册Twitter账号,立刻有朋友来私信龙哥说里面提到的这个养号和防关联具体是个怎么样的做法。由于Twitter检测机制还是比较敏感的,账号很容易被冻结,所以养号是非常重要的步骤。其实要养好Twitter账号其实并不难…

docker-compose极速部署kafka3.2.0集群(含zookeeper集群)

极速部署kafka3.2.0集群准备工作:准备三台服务器部署Zookeeper集群部署kafka集群创建Topic开启JMX_PORTkafka集群管理工具使用的 KakfaStreaming准备工作:准备三台服务器 服务器地址缩写192.168.0.200200192.168.0.201201192.168.0.202202 一、完成服务…

格创东智与金羽新能合作|先进工业互联网助力固态电池智能化运营

2022年12月,浙江金羽新能源科技有限公司(以下简称金羽新能)与格创东智签订战略合作框架协议,并在湖州安吉举行金羽新能固态电池MES项目启动会。 固态电池是一种使用固体电极和固体电解质的电池。相较传统锂电池(液态电…

Android开发初识

文章目录一 Android发展历程二 开发工具Android Studio的发展历程三 硬件要求四 Android Studio 的安装和使用一 Android发展历程 安卓(Android)是一种基于Linux内核(不包含GNU组件)的自由及开放源代码的操作系统。 由美国Google公…

解药 or 毒药:ChatGPT辅助设计,规划师和建筑师要失业了吗?

​人工智能聊天机器人ChatGPT火爆全球, 规划师笔记也紧赶潮流,快速尝试, AI与设计发生碰撞, 会产生怎样的火花? 运用AI帮助写文案、作图、视频剪辑、游戏制作等等随着2021被称为元宇宙元年,近些年来AI在…

中国地图航线图(echarjs)

1、以上为效果图 需要jq、echarjs、china.json三个文件支持。以上 2、具体代码 DOM部分 <!-- 服务范围 GO--> <div class"m-maps"><div id"main" style"width:1400px;height: 800px; margin: 0 auto;"> </div> <!-…

【Java基础】021 -- 常见算法及API(查找、排序、Arrays)

目录 常见算法 1、企业中的常见算法 一、查找算法 1、基本查找&#xff08;数据没有任何顺序&#xff09; ①、代码实现&#xff1a; ②、课堂练习&#xff1a; 2、二分查找/折半查找&#xff08;数据一定要有顺序&#xff09; ①、示例情况&#xff1a; ②、代码实现&#xff…

一文搞懂ECU休眠唤醒之利器-TJA1145

前言 首先&#xff0c;小T请教大家几个小小问题&#xff0c;你清楚&#xff1a; 什么是TJA1145吗&#xff1f;你知道休眠唤醒控制基本逻辑是怎么样的吗&#xff1f;TJA1145又是如何控制ECU进行休眠唤醒的呢&#xff1f;使用TJA1145时有哪些注意事项呢&#xff1f; 今天&…

自动化测试的12个认识误区给后人避坑

自动化测试的12个认识误区 1、自动化的软件测试与手工的软件测试过程一样 自动化测试所需要的技巧与手工测试所需要的技巧是不一样的。 通常&#xff0c;你的项目经理会被那些测试工具销售们迷惑&#xff0c;认为自动化的软件测试就是简单地按一个录制的按钮&#xff0c;产…