近期公布的11个CVE漏洞总结

参考自深信服千里目实验室、嘶吼专业版、互联网等，由HACK之道汇总。

1、Windows TCP/IP远程代码执行漏洞CVE-2020-16898

漏洞描述

Windows TCP/IP堆栈不当地处理ICMPv6 Router Advertisement（路由通告）数据包时，存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。

要利用此漏洞，攻击者必须将特制的ICMPv6（路由通告）数据包发送到远程Windows计算机（远程攻击者无须接触目标计算机也勿须相应权限，向目标计算机发送攻击数据包即可能实现RCE，目前尚无EXP公开)。

此更新通过更正Windows TCP/IP堆栈处理ICMPv6（路由通告）数据包的方式来解决此漏洞。

威胁等级：高

影响范围：

Windows 10、Windows Server的多个版本均受影响

修复建议

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

 禁用ICMPv6 RDNSS

您可以使用以下 PowerShell 命令禁用 ICMPv6 RDNSS，以阻止攻击者利用漏洞。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

（说明：此解决方法仅适用于 Windows 1709 及更高版本）

2、Apache Solr 未授权文件上传漏洞CVE-2020-13957 

威胁等级：高危

影响范围：

Apache Solr 6.6.0 - 6.6.5

Apache Solr 7.0.0 - 7.7.3

Apache Solr 8.0.0 - 8.6.2

漏洞类型：任意文件上传漏洞

漏洞分析

Apache Solr 组件介绍

Apache Solr是一个开源的搜索服务器。具有高度可靠、可伸缩和容错的，提供分布式索引、复制和负载平衡查询、自动故障转移和恢复、集中配置等功能。

Solr为世界上许多的互联网站点提供搜索和导航功能。Solr使用Java语言开发，主要基于HTTP和Apache Lucene实现。

Apache Solr中存储的资源是以Document 为对象进行存储的。每个文档由一系列的 Field构成，每个Field表示资源的一个属性。Solr中的每个Document需要有能唯一标识其自身的属性，默认情况下这个属性的名字是id，在Schema配置文件中使用：id进行描述。

漏洞描述

10月12日Apache软件基金会发布安全公告，修复了Apache Solr未授权文件上传漏洞（CVE-2020-13957）。

Apache Solr Configset Api上传功能存在未授权文件上传漏洞。攻击者通过构造恶意请求，上传恶意文件，从而可以直接获取到服务器权限。

修复建议

目前厂商已在最新版本修复该漏洞，请受影响的用户升级到Apache Solr 8.6.3最新版本，下载链接：

https://lucene.apache.org/solr/downloads.html

详细参考：https://blog.csdn.net/caiqiiqi/article/details/109046187

3、WordPress wp-file-manager 文件上传漏洞 CVE-2020-25213

威胁等级：高危

影响范围：wordpress plugin WP-file-manager <6.9

漏洞类型：文件上传

利用难度：容易

漏洞分析

WordPress 插件WP-file-manager介绍：WP-file-manager是一个帮助WordPress管理员管理其站点上文件的插件。该插件包含一个附加库elFinder，它是一个开放源代码文件管理器，用来创建简单的文件管理界面，并提供文件管理器背后的核心功能。WP-file-manager插件以引入漏洞的方式使用了该库。

漏洞描述：WordPress 6.9之前的文件管理器（wp-file-manager）插件允许远程攻击者上传和执行任意PHP代码，因为它将不安全的示例elFinder连接器文件重命名为具有.php扩展名。例如，这允许攻击者运行特定命令将PHP代码写入下述目录。

wp-content / plugins / wp-file-manager / lib / files /

漏洞复现：搭建WordPress wp-file-manager 6.0漏洞环境使用exp进行攻击，最终成功上传指定文件并执行，如图：

修复建议：目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wordpress.org/plugins/wp-file-manager/#description

4、MyBatis 远程代码执行漏洞CVE-2020-26945

威胁等级：高危

影响范围：MyBatis < 3.5.6

漏洞类型：远程代码执行

MyBatis组件介绍：MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code，并且改名为MyBatis。

MyBatis是一款优秀的持久层框架，它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以使用简单的XML或注解来配置和映射原生信息，将接口和 Java 的 POJOs(Plain Ordinary Java Object,普通的 Java对象)映射成数据库中的记录。

漏洞描述：2020年10月6日，MyBatis官方发布了MyBatis 3.5.6版本，修复了一个远程代码执行漏洞，该漏洞编号为CVE-2020-26945。

在满足以下三个条件的时候，攻击者可以触发远程代码执行：

1、用户启用了内置的二级缓存

2、用户未设置JEP-290过滤器

3、攻击者找到了一种修改私有Map字段条目的方法，即修改org.apache.ibatis.cache.impl.PerpetualCache.cache有效的缓存密钥

修复建议：目前厂商已发布升级补丁修复漏洞，请受影响用户尽快进行升级加固。补丁获取链接：

https://github.com/mybatis/mybatis-3

复现参考：https://www.cnblogs.com/potatsoSec/p/13807681.html

5、Nexus Repository Manager 2 目录遍历漏洞CVE-2020-15012

威胁等级：高危

影响范围：sonatype:nexus repository manager 2 <= 2.14.18

漏洞类型：目录遍历

Nexus Repository Manager 2组件介绍：Sonatype Nexus Repository Manager 2（NXRM）是美国Sonatype公司的一款Maven仓库管理器，它提供了强大的仓库管理、构件搜索等功能，并且可以用来搭建Maven 仓库私服，在代理远程仓库的同时维护本地仓库，以节省带宽和时间。 

漏洞描述：2020年10月9日，Sonatype发布了Nexus Repository Manager 2目录遍历漏洞的风险通告，该漏洞编号为CVE-2020-15012，漏洞等级定义为高危。远程攻击者通过构造特殊请求，可以进行目录遍历从而造成敏感信息的泄露。

修复建议：目前厂商已发布升级补丁以修复漏洞，请受影响用户尽快进行升级加固。补丁获取链接：https://help.sonatype.com/repomanager2/download

6、Zabbix 远程代码执行漏洞CVE-2020-11800

威胁等级：高危

影响范围：

Zabbix 3.2 （已不支持）

Zabbix 3.0 - 3.0.30

Zabbix 2.2.18 - 2.2.x （已不支持）

漏洞类型：远程代码执行

Zabbix 组件介绍：Zabbix是一个基于WEB界面的分布式系统监视以及网络监视的企业级开源解决方案。Zabbix能监视各种网络参数，保证服务器系统的安全运营，并提供灵活的通知机制以便系统管理员快速定位和解决存在的各种问题。

它由两部分构成，Zabbix Server与可选组件Zabbix Agent。Zabbix server可以通过SNMP，Zabbix Agent，ping，端口监视等方法提供对远程服务器/网络状态的监视，数据收集等功能，它可以运行在Linux，Solaris，HP-UX，AIX，Free BSD，Open BSD，OS X等平台上。

漏洞描述：2020年10月9日，Zabbix 官方发布了Zabbix 远程代码执行漏洞的风险通告，该漏洞编号为CVE-2020-11800，漏洞等级定义为高危。Zabbix SIA zabbix3-proxy 3.0.31之前版本和zabbix3-server 3.0.31之前版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

修复建议：目前厂商已发布升级补丁以修复漏洞，请受影响用户尽快进行升级加固。补丁获取链接：https://support.zabbix.com/browse/ZBX-17600

7、IBM WebSphere Application Server XXE 漏洞CVE-2020-4643

威胁等级：高危

影响范围：IBM WebSphere Application Server 7.0、8.0、8.5、9.0

漏洞类型：XXE

IBM WebSphere Application Server组件介绍：IBM WebSphere Application Server 是一种高性能的 Java 应用服务器，可用于构建、运行、集成、保护和管理内部部署和/或外部部署的动态云和 Web 应用。它不仅能够确保高性能和灵活性，还提供多种开放标准编程模型选项，旨在最大程度提高开发人员的生产力。

漏洞描述：2020年9月17日，IBM官方报告了一个存在于WebSphere Application Server的XXE漏洞CVE-2020-4643，IBM WebSphere Application Server在处理XML数据时，容易受到XML外部实体注入（XXE）攻击，远程攻击者可以利用此漏洞来窃取敏感信息。

漏洞复现：搭建漏洞环境WebSphere9.0，攻击者通过发送精心构造的恶意请求，可以造成信息泄露。

修复建议：目前官方已针对以上漏洞发布了修复包。

下载链接及安装说明：

https://www.ibm.com/support/pages/node/6334311

8、Apache Superset 远程代码执行漏洞CVE-2020-13948

威胁等级：高危

影响范围：Apache Superset < 0.37.1

漏洞类型：远程代码执行漏洞

Apache Superset组件介绍：Apache Superset 是Airbnb公司开源的数据分析与可视化平台（曾用名Caravel、Panoramix），该工具主要特点是可自助分析、自定义仪表盘、分析结果可视化（导出）、用户/角色权限控制，还集成了SQL编辑器，可以进行SQL编辑查询等操作。

漏洞描述：9月15日Apache软件基金会发布安全公告，修复了Apache Superset远程代码执行漏洞（CVE-2020-13948）。

在调查有关Apache Superset的错误报告时，确认经过身份验证的用户可以通过产品中的许多模板化文本字段来提出请求，从而允许在构建Web应用程序过程中访问Python的os软件包。因此，经过身份验证的用户可以列出并访问文件、环境变量和过程信息。另外，可以为当前进程设置环境变量，在可写的文件夹中创建和更新文件，以及执行可访问的任意程序。

漏洞复现：搭建Apache Superset 0.37.0漏洞环境使用构造的payload进行攻击，最终执行指定代码。

修复建议：目前厂商已在新版本修复该漏洞，请受影响的用户升级到Apache Superset 最新版本。

下载链接：https://github.com/apache/incubator-superset/releases

9、Apache ActiveMQ 远程代码执行漏洞CVE-2020-11998

威胁等级：中危

影响范围：Apache ActiveMQ = 5.15.12

漏洞类型：远程代码执行漏洞

利用难度：中等

Apache ActiveMQ 组件介绍：Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件；由于ActiveMQ是一个纯Java程序，因此只需要操作系统支持Java虚拟机，ActiveMQ便可执行。

漏洞描述：9月10日Apache软件基金会发布安全公告，修复了Apache ActiveMQ远程代码执行漏洞（CVE-2020-11998）。

在配置中，如果用户将一个不包含身份验证凭据的空的环境映射传递到RMIConnectorServer中时，会使得ActiveMQ容易受到代码注入攻击。

在没有安全管理配置的情况下，远程客户端可以创建一个javax.management.loading.MLet MBean，并使用它从任意URL创建新的MBean，当用户加载恶意的远程客户端Java应用程序时，会导致任意代码执行。

漏洞复现：搭建Apache ActiveMQ 5.15.12版本，发送精心构造的请求，可以执行任意系统命令，效果如下。

修复建议：目前厂商已在新版本修复该漏洞，请受影响的用户升级到Apache ActiveMQ 5.15.13或以上版本。

下载链接：http://activemq.apache.org/

10、Spring Framework反射型文件下载漏洞CVE-2020-5421

威胁等级：高危

影响范围：

Spring Framework 5.2.0 – 5.2.8

Spring Framework 5.1.0 – 5.1.17

Spring Framework 5.0.0 – 5.0.18

Spring Framework 4.3.0 – 4.3.28

以及其他不受官方支持的版本

漏洞类型：文件下载

利用难度：中等

Spring Framework组件介绍：Spring Framework 是一个开源的 Java/Java EE 全功能栈（full-stack）的应用程序框架，以 Apache 许可证形式发布，也有 .NET 平台上的移植版本。Spring Framework 提供了一个简易的开发方式，这种开发方式可以避免那些可能致使底层代码变得繁杂混乱的属性文件和帮助类。

漏洞描述：9月17日，VMware Tanzu发布安全公告，公布了一个存在于Spring Framework中的反射型文件下载（Reflected File Download,RFD）漏洞CVE-2020-5421。CVE-2020-5421 可通过jsessionid路径参数，绕过防御RFD攻击的保护。之前针对RFD的防护是为应对 CVE-2015-5211 添加的。

漏洞复现：搭建Spring Framework5.2.8环境，攻击者发送精心构造的恶意请求，可以使服务器下载恶意文件。

修复建议：目前官方已针对以上漏洞发布了修复包，请受影响的用户尽快安装更新进行防护。

下载链接：https://github.com/spring-projects/spring-framework/releases

11、CVE-2020-14386: Linux kernel权限提升漏洞

触发该漏洞的PoC代码参见：https://www.openwall.com/lists/oss-security/2020/09/03/3

漏洞利用：：https://unit42.paloaltonetworks.com/cve-2020-14386/

研究人员提出的补丁参见：https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=acf69c946233259ab4d64f8869d4037a198c7f06

研究人员提出的补丁，补丁的思想是如果将netoff 的类型从unsigned short 修改为unsigned int，就可以检查是否会超过USHRT_MAX，如果超过的化就丢弃该包，以防进一步利用。

研究人员其实也很奇怪Linux kernel中至今还会存在如此简单的算术安全问题，而且之前没有被发现过。同时，非特权的用户空间也暴露出了本地权限提升的巨大攻击面。

_____ end _____

关注公众号:HACK之道

本文始发于微信公众号（HACK之道）：近期公布的11个CVE漏洞总结