漏洞基本信息

漏洞编号:
98088
披露/发现时间:
未知
提交时间:
2019-10-17
漏洞等级:
漏洞类别:
代码执行
影响组件:
Jspxcms
(version<=9.5.1)
漏洞作者:
未知
提交者:
Knownsec
CVE-ID:
CNNVD-ID:
CNVD-ID:

来源

漏洞详情

共 0  了

PoC

暂无 PoC

参考链接

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

'zipFile = zipfile.ZipFile("test5.zip", "a", zipfile.ZIP_DEFLATED) info = zipfile.ZipInfo("test5.zip")zipFile.writestr("../../../safedog.html", binary)zipFile.close()except IOError as e: raise e ``` (2)将包含有Webshell的war包拖拽到“test5.zip”,如图所示。![](https://images.seebug.org/1571282380261-w331s) ## 二、代码审计经过前面的入侵溯源分析可以初步断定,这次攻击与该CMS的“ZIP解压接口”(GET /cmscp/core/web_file_2/unzip.do?ids={ids}&parentId={parentId})密切相关。该接口对应了WebFileUploadsController.java的unzip方法,如图所示。![](https://images.seebug.org/1571282390901-w331s)对unzip方法进行跟进,发现它的具体实现在WebFileControllerAbstractor.java中。可以发现,在对zip文件进行解压的时候,调用了AntZipUtil类的unzip方法,如图所示。![](https://images.seebug.org/1571282402920-w331s)对AntZipUtil类的unzip方法进行跟进,可发现该方法未对ZIP压缩包里的文件名进行参数校验,就进行文件的写入。这样的代码写法会引发目录穿越漏洞,如图所示。![](https://images.seebug.org/1571282414805-w331s)目前,海青实验室已将该漏洞提交CNVD,并通知厂商进行修复。 ## 三、总结通过这则实例可以发现,解压功能的安全性可能对网站安全造成较大危害(以Spring Integration Zip开发组件为例,它也曾被爆出CVE-2018-1261这一“不安全解压漏洞”)。若网站的业务涉及了解压功能,建议更加重视安全开发的维度,除此以外安全狗也提供了相应的产品防御方案。在安全开发方面,建议研发人员在实现解压算法时,从以下几个方面进行自查与限制:(1)是否限制压缩包内文件的扩展名例如:.war、.jsp、jspx、.jsp::$DATA(只影响Windows主机)(2)是否限制压缩包内文件的实际解压路径(3)是否限制压缩包内文件的总大小(以防压缩包炸弹引发的拒绝服务攻击)(4)是否赋予Web应用目录合理的权限此外,我们也建议用户选择可靠专业的安全产品,例如安装了安全狗产品的用户,一旦发生安全事件,将会自动收到系统发出的告警短信,以尽快介入处置,避免产生更大的损失。![](https://images.seebug.org/1571282424923-w331s)在“安全狗产品防御”方面,建议用户使用“网站安全狗”和“云御”的网站后台防护以及服务器狗的文件目录守护功能,云御和网站安全狗的网页后台路径保护功能可以实现针对网站后台暴破行为的防护。云御后台防护功能如图所示:![](https://images.seebug.org/1571282434175-w331s)网站安全狗后台防护功能如图所示:![](https://images.seebug.org/1571282443469-w331s)服务器文件夹目录守护功能:![](https://images.seebug.org/1571282452106-w331s)