Java ile yazılmış açık kaynaklı bir içerik yönetim sistemi olan dotCMS’de önceden doğrulanmış bir uzaktan kod yürütme güvenlik açığı açıklandı ve “tarafından kullanılan Fortune 500 markalarından ve orta ölçekli işletmelerden dünya çapında 70’den fazla ülkede 10.000’den fazla müşteri.”
Kritik kusur, şu şekilde izlendi: CVE-2022-26352dosya yüklemeleri gerçekleştirirken bir dizin geçiş saldırısından kaynaklanır ve bir rakibin temel sistemde rastgele komutlar yürütmesini sağlar.
Assetnote’tan Shubham Shah, “Bir saldırgan sisteme rastgele dosyalar yükleyebilir” dedim bir raporda. “Tomcat’in kök dizinine bir JSP dosyası yükleyerek, komut yürütmeye yol açan kod yürütmeyi başarmak mümkündür.”
Başka bir deyişle, rastgele dosya yükleme kusuru, sistemdeki mevcut dosyaları bir web kabuğu ile değiştirmek için kötüye kullanılabilir ve bu daha sonra kalıcı uzaktan erişim elde etmek için kullanılabilir.
İstismar, uygulama tarafından sunulan keyfi JavaScript dosyalarına yazmayı mümkün kılmasına rağmen, araştırmacılar, hatanın doğasının, komut yürütme elde etmek için silah olarak kullanılabileceğini söyledi.
AssetNote, kusuru 21 Şubat 2022’de keşfettiğini ve bildirdiğini ve ardından yamaların 22.03, 5.3.8.10 ve 21.06.7 sürümlerinde yayınlandığını söyledi.
Şirket, “Dosyalar içerik API’si aracılığıyla dotCMS’ye yüklendiğinde, ancak içerik haline gelmeden önce, dotCMS dosyayı geçici bir dizine yazar” dedi. dedim. “Bu güvenlik açığı durumunda, dotCMS, çok parçalı istek başlığı aracılığıyla iletilen dosya adını temizlemez ve bu nedenle geçici dosyanın adını temizlemez.”
“Bu istismar durumunda, bir saldırgan dotCMS’nin webapp/ROOT dizinine uzaktan kod yürütülmesine izin verebilecek özel bir .jsp dosyası yükleyebilir” dedi.