0x00 漏洞背景
2020年2月4日,360CERT監測到NVD發佈了CVE-2020-7799漏洞預警,漏洞等級高。
在FusionAuth 1.11.0版本之前的中發現了一個問題。經過身份驗證的用戶允許編輯電子郵件模板(主頁->設置->電子郵件模板)或主題(主頁->設置->主題),可利用freemarker.template.utility.Execute執行任意命令
360CERT判斷漏洞等級為高,危害面/影響面大。建議使用FusionAuth的用戶及時安裝最新補丁,以免遭受黑客攻擊。
0x01 漏洞詳情
Apache FusionAuth 組件利用了 Apache FreeMarker 模板引擎,經過身份驗證的用戶允許編輯電子郵件模板,在進行模板編輯時,可利用freemarker.template.utility.Execute執行任意命令
0x02 影響版本
- Apache FusionAuth :<= 1.10
0x03 修復建議
- 建議用戶升級到最新版FusionAuth:https://fusionauth.io/direct-download
0x04 時間線
2020-01-27 漏洞公佈
2020-02-04 360-CERT發佈漏洞通告
0x05 參考鏈接
- https://nvd.nist.gov/vuln/detail/CVE-2020-7799
- https://fusionauth.io/docs/v1/tech/release-notes
分享到:
閱讀更多 Mike1993 的文章
