Apache Commons JXPath是美国阿帕奇(Apache)基金会的一种 XPath 1.0 的基于 Java 的实现。JXPath 为使用 XPath 语法遍历 JavaBeans、DOM 和其他类型的对象的图形提供了 API。
CVE-2022-41852 Apache Commons Jxpath命令执行漏洞分析
2022-10-28阅读:298
Apache Commons JXPath是美国阿帕奇(Apache)基金会的一种 XPath 1.0 的基于 Java 的实现。JXPath 为使用 XPath 语法遍历 JavaBeans、DOM 和其他类型的对象的图形提供了 API。
漏洞描述
利用范围
漏洞分析
使用github上POC进行分析复现https://github.com/Warxim/CVE-2022-41852
JXPath除了能够像XPatth一样能够访问XML文档各种元素之外,还能够读取和写入JavaBean的属性,获取和设置数组、集合、映射、透明容器、Servlet 中的各种上下文对象等元素。
JXPath 支持开箱即用的标准 XPath 函数。它还支持“标准”扩展函数(基本上是通往 Java 的桥梁),以及完全自定义的扩展函数。
在org.apache.commons.jxpath.PackageFunctions#getFunction中,存在methodName.equals("new")
这里实例化的xpath表达式设置为了xxx.new(),截取括号前作为方法名,如果调用new方法就被视为实例化,两个判断一个是实例化构造函数,另一个是静态方法。
在实例化之后,继续跟进会来到org.apache.commons.jxpath.ri.compiler.ExtensionFunction#computeValue
在获得了org.apache.commons.jxpath.Function对应的这个实例后,会调⽤具体的invoke实现。
最后在调用invoke实现Spring-bean加载,执行恶意代码。
Spring框架中还可以用org.apache.commons.jxpath.functions.MethodFunction这个类。
除了实例化构造函数,Spring框架加载恶意配置的利用之外。还能利用静态方法进行RCE,例如jndi、jdbc等,后续笔者也会进行补充和分析。
此调用也可以直接利用getValue解析表达式。
在Spring中利用远程加载配置来命令执行。
地址:北京市海淀区海淀大街38号银科大厦6层
Copyright © 2022 北京星阑科技有限公司. 京ICP备19053406号
提交成功