漏洞簡介
Spring Data是一個用於簡化數據庫訪問,並支持雲服務的開源框架,包含Commons、Gemfire、JPA、JDBC、MongoDB等模塊。此漏洞產生於Spring Data Commons組件。
參考:http://blog.nsfocus.net/cve-2018-1273-analysis/
官方通告:
https://tanzu.vmware.com/security/cve-2018-1273
提到了兩個commit,都是在spring-data-commons-1.13.10.RELEASE.jar!\org\springframework\data\web\MapDataBinder#
通過補丁,知道補丁大致就是將StandardEvaluationContext替代爲SimpleEvaluationContext,由於StandardEvaluationContext權限過大,可以執行任意代碼,會被惡意用戶利用。
SimpleEvaluationContext的權限則小的多,只支持一些map結構,通用的jang.lang.Runtime,java.lang.ProcessBuilder都已經不再支持,詳情可查看SimpleEvaluationContext的實現。
環境搭建
環境搭建參考:
https://github.com/wearearima/poc-cve-2018-1273
直接在IDEA中打開,會自定將依賴的mvn庫加入到依賴中。
點擊右上角調試按鈕即可進行調試。
SpelExpressionParser PARSER;
// 以下兩種方式都可以造成RCE
Expression expression = PARSER.parseExpression("T(java.lang.Runtime).getRuntime().exec('calc')");expression.getValue(Class.class);
Expression expression = PARSER.parseExpression("T(java.lang.Runtime).getRuntime().exec('calc')");expression.setValue(context, "123");
靜態代碼審計規則可以放在getValue和setValue方法上。
參考
- https://cws6.github.io/2019/02/27/SpEL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5/
- http://rui0.cn/archives/1043
- https://www.mi1k7ea.com/2020/01/10/SpEL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%80%BB%E7%BB%93/
- https://p0rz9.github.io/2019/05/28/SpEL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5/