开源内容管理软件dotCMS被曝严重漏洞

近日，持续攻击管理平台供应商Assetnote公布了最新研究报告；报告指出，在开源内容管理系统dotCMS中发现一个Pre-auth远程代码执行漏洞，该严重漏洞的编号为CVE-2022-26352，该系统使用者在执行文件上传时触发的目录遍历攻击，可导致攻击者在底层系统上执行任意命令。

Assetnote公司的研究员Shubham Shah在报告中表示，“攻击者可向系统上传任意文件。通过向tomcat的根目录上传JSP文件，攻击者可以实现代码执行，从而执行命令。”也就是说，该任意文件上传缺陷可被滥用于通过web shell取代系统中已经存在的文件，已获得持久的远程访问权限。

尽管攻击者可利用该缺陷写入应用程序的任意JavaScript文件，但研究人员表示该漏洞的一个严重本质就是可导致其可被武器化，实现远程代码执行。

AssetNote公司表示，已在2022年2月21日发现并报告该缺陷，此后在版本22.03、5.3.8.10和21.06.7中发布补丁。

此外，该公司指出，“当通过内容API将文件上传至dotCMS时，但在它们成为内容之前，dotCMS在临时目录中写该文件。dotCMS未清理通过多部分请求头传入的文件名称，因此并未清理临时文件的名称。攻击者可滥用该漏洞，将特殊的.jsp文件上传到dotCMS的webapp/ROOT目录中，从而实现远程代码执行。”

据悉，目前已有70多个国家/地区超过10,000名用户正在使用dotCMS提供的开源内容进行研发，可想而知该漏洞的影响范围是十分广泛的。