CVE-2020-7799：FreeMarker模板FusionAuth RCE复现

作者：

发布时间：2020-10-19

0x01 简介

FusionAuth是一个免费的身份管理平台，安装简单，易于集成。FusionAuth提供登录、注册、MFA、SSO、电子邮件模板、本地化、密码控制、强哈希、网络挂钩、基于角色的访问控制等功能。

0x02 漏洞概述

一个有修改 email 或者 theme 模板权限的用户可以通过使用 Apache FreeMarker engine 里的 freemarker.template.utility.Execute 来执行任意命令。

因为使用了Apache FreeMarker engine(freemarker-2.3.28.jar), 所以可以使用 freemarker 的语法, 类似 ${XXX? Built-ins} 而 new 这个 Built-ins 会创建一个特定 TemplateModel 的变量。

要求?左边是TemplateModel,也就是 freemarker.template.utility.Execute, 而右边就是 initialize 这个 object 时的参数。

0x03 影响版本

FusionAuth <= 1.11.0

0x04 环境搭建

下载 FusionAuth 1.10.0（本次使用 FusionAuth 1.10.0 进行测试）

https://storage.googleapis.com/inversoft_products_j098230498/products/fusionauth/1.10.0/fusionauth-app-1.10.0.zip

0x05 漏洞复现

本次使用 email template 进行测试

0x06 修复方式

值得一提的是 freemarker 2.3.19 的 changelog 里显示,如果用户开启了 TemplateClassResolver.SAFER_RESOLVER 的话, 可以防止创建 freemarker.template.utility.Execute. 然而目前这并不是默认配置。

FusionAuth Version 1.11.0 的 release Note 里说是修改了 freemarker template engine, 使其不能执行恶意代码. 所以修复方式就是升级到1.11.0 及以后的版本。

参考链接：

https://www.anquanke.com/post/id/198036

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7799

标签：

最新资讯: 下一代防火墙是什么？; 服务器被攻击怎么防御?; 网络安全合规性报告包括哪些内容; 网络安全中态势感知解决方案; 容器安全防护服务有哪些？; 什么是日志审计系统?日志审计系统有什么用?; 企业面对网络安全应该怎么做？; 云堡垒机是什么有什么用?; 如何免费获取企业服务器安全检测报告？; 免费服务器安全体检报告怎么获取