聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
HSQLDB 提供基于Java的SQL关系数据库系统。该技术是第二大最热门的嵌入式SQL数据库,迄今为止下载量已有1亿次,它用于开发、测试和部署数据库应用程序。
HSQLDB用于超过3120个Maven程序包,包括LibreOffice、JBoss、Log4j、Hibernate 和 Spring-Boot 以及多种企业软件包。
Code Intelligence 公司的安全研究员通过云心过一系列模糊测试而发现了该RCE漏洞 (CVE-2022-41853) ,它的CVSS评分为9.8分。
HSQLDB 版本2.7.0及其以前的所有版本均易受攻击。研究人员联系了 HSQL 开发组即HSQLDB的开发人员,后者迅速提供了修复方案和缓解措施。HSQLDB尚未就此事置评,不过Code Intelligence公司的研究人员表示补丁已在管道中。
研究人员指出,“该漏洞已在上游修复,将在下次发布时现身。从2.7.1版本开始,如果将任何Java静态方法用作HSQLDB例程目标,则属性hsqldb.method_class_names 必须以类名称或通配符的清单定义。”此前的实现引发了一个问题,原因是在不定义系统属性的前提下,不应当允许使用除了java.lang.Math中方法以外的 Java静态方法,否则会出现其它问题。
研究人员发布博客文章,更加深入地解释了该问题的根因。
文章指出,“在默认情况下,SQL声明可用于从类路径中的任意Java类中调用任何静态方法。HSQLDB允许直接使用这些方法。”
该漏洞意味着,在HSQLDB的预打补丁的版本中使用具有不可信输入的java.sql.Statement 或 java.sql.PreparedStatement时,可能导致应用程序易受RCE攻击。
Code Intelligence 公司的联合创始人 Khaled Yakdan 解释称,造成这种问题并不一定要求app易受SQL注入攻击。他指出,“当前默认的配置情况允许使用类路径上的任何类的静态方法。此外,遗留兼容性可允许直接使用这些方法。”
虽然Yakden 拒绝猜测哪些流行应用可能易受攻击,但他解释称启用HyperSQL会导致何种影响,“我们仅专注于寻找漏洞而不会调查易受攻击的代码库。该CVE造成的影响是,如果你使用HyperSQL来处理包括(不可信)用户输入的查询,则攻击者可能能够使你的app执行任意代码。”
https://portswigger.net/daily-swig/hypersql-database-flaw-leaves-library-vulnerable-to-rce
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):HyperSQL数据库存在严重漏洞,可导致RCE后果
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论