Une vulnérabilité d’exécution de code à distance pré-authentifiée a été révélée dans dotCMS, un système de gestion de contenu open source écrit en Java et « utilisé par plus de 10 000 clients dans plus de 70 pays à travers le monde, issus de marques du Fortune 500 et d’entreprises de taille moyenne. »
La faille critique, suivie comme CVE-2022-26352découle d’une attaque par traversée de répertoire lors de l’exécution de téléchargements de fichiers, permettant à un adversaire d’exécuter des commandes arbitraires sur le système sous-jacent.
« Un attaquant peut télécharger des fichiers arbitraires sur le système », Shubham Shah d’Assetnote mentionné dans un rapport. « En téléchargeant un fichier JSP dans le répertoire racine de Tomcat, il est possible de réaliser l’exécution de code, conduisant à l’exécution de commandes. »
En d’autres termes, la faille de téléchargement de fichiers arbitraires peut être exploitée pour remplacer des fichiers déjà existants dans le système par un shell Web, qui peut ensuite être utilisé pour obtenir un accès à distance persistant.
Bien que l’exploit ait permis d’écrire dans des fichiers JavaScript arbitraires servis par l’application, les chercheurs ont déclaré que la nature du bogue était telle qu’il pouvait être transformé en arme pour obtenir l’exécution de commandes.
AssetNote a déclaré avoir découvert et signalé la faille le 21 février 2022, après quoi des correctifs ont été publiés dans les versions 22.03, 5.3.8.10 et 21.06.7.
« Lorsque les fichiers sont téléchargés dans dotCMS via l’API de contenu, mais avant qu’ils ne deviennent du contenu, dotCMS écrit le fichier dans un répertoire temporaire », a déclaré la société. mentionné. « Dans le cas de cette vulnérabilité, dotCMS ne nettoie pas le nom de fichier transmis via l’en-tête de requête en plusieurs parties et ne nettoie donc pas le nom du fichier temporaire. »
« Dans le cas de cet exploit, un attaquant peut télécharger un fichier .jsp spécial dans le répertoire webapp/ROOT de dotCMS qui peut permettre l’exécution de code à distance », a-t-il noté.