Elasticsearch Groovy 腳本 遠程代碼執行(CVE-2015-1427)
一、漏洞介紹
由於 Groovy 腳本引擎中的不明缺陷,遠程 Web 服務器上託管的 Elasticsearch 應用程序受到遠程代碼執行漏洞的影響。未經認證的遠程攻擊者使用特別構建的請求可從沙盒逃逸並執行任意 Java 代碼。攻擊成功可允許用戶獲取遠程 shell 或操縱遠程系統上的文件。
二、漏洞危害
未經認證的遠程攻擊者使用特別構建的請求可從沙盒逃逸並執行任意 Java 代碼。攻擊成功可允許用戶獲取遠程 shell 或操縱遠程系統上的文件。
三、漏洞驗證
以下內容摘自零組資料文庫
安裝了river之後可以同步多種數據庫數據(包括關係型的mysql、mongodb等)。
http://localhost:9200/_cat/indices裏面的indices包含了_river一般就是安裝了river了。http://localhost:9200/_plugin/head/web管理界面
http://localhost:9200/_cat/indices
http://localhost:9200/_river/_search查看數據庫敏感信息
http://localhost:9200/_nodes查看節點數據
使用esExploit (elasticsearch)終極版驗證:
四、漏洞修復
升級到版本 1.3.8 / 1.4.3 或更高版本,或者禁用腳本。
參考鏈接:
https://blog.csdn.net/u011066706/article/details/51175761
檢測工具:
https://download.csdn.net/download/limb0/11989852