CVE-2021-39115-Atlassian Jira Service Management Server SSTI漏洞分析

漏洞概述

Atlassian官方发布了一则漏洞通报

https://jira.atlassian.com/browse/JSDSERVER-8665

从描述中可以看出,该漏洞是一个服务端模板渲染漏洞,需要Jira Administrator权限,影响版本如下:

  • version < 4.13.9
  • 4.14.0 ≤ version < 4.18.0

漏洞复现

下载JiraService Management 4.17.1版本并安装 ,配置SMTP服务器。

20210919132758-596450a4-190a-1

使用管理员登录,进入system/EmailTemplates下载当前模板。

20210919132809-601cb0c6-190a-1

修改并替换header.vm文件。

$jirautils.loadComponent('java.lang.Runtime',$i18n.getClass())
20210919132835-6f7b8dee-190a-1

进入System/SendEmail发送邮件。

20210919132847-76e26d6e-190a-1

选择邮件用户。

20210919132859-7dad78fa-190a-1

受邮件,可以看到错误执行结果。

20210919132909-83eaf94a-190a-1
20210919132916-88109aa2-190a-1

为标准的SPEL表达式注入,参考公开资料,注入命令执行载荷。

20210919132941-96d4b014-190a-1

基于IOUtils实现回显。

20210919133000-a211c6e2-190a-1

后记

这个漏洞是利用Email Templates功能点,基于Velocity模板引擎。通过补丁对比方法可以找到org.springframework.expression.spel.standard.SpelExpressionParser这个类,寻找loadComponents这个功能函数需要技巧。

参考

https://jira.atlassian.com/browse/JSDSERVER-8665

转载自

https://xz.aliyun.com/t/10281

本文转载自https://xz.aliyun.com/t/10281,只做本站测试使用,本文观点不代表安强科技社区立场。

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年3月18日 上午11:01
下一篇 2022年3月18日 上午11:16

相关推荐

发表回复

您的电子邮箱地址不会被公开。