Apache Syncope允许恶意管理员注入Groovy代码
漏洞概述
Apache Syncope提供了通过自定义Java接口实现来扩展/定制基础行为的能力。此类实现可以作为Java或Groovy类提供,其中Groovy类特别具有吸引力,因为其机制设置为运行时重新加载。
该功能已存在一段时间,但最近发现恶意管理员可以注入Groovy代码,这些代码可由运行的Apache Syncope Core实例远程执行。
受影响版本
- 小于3.0.14的所有版本
- 4.0.0-M0至4.0.2之间的所有版本
修复方案
建议用户升级到以下版本:
- 版本3.0.14
- 版本4.0.2
这些版本通过强制Groovy代码在沙箱中运行来修复此问题。
技术细节
该漏洞源于Apache Syncope对Groovy代码执行缺乏适当的隔离机制,恶意管理员能够绕过安全限制,执行任意Groovy代码。
参考链接
安全评分
CVSS v3.1评分:7.2(高危) 攻击向量:网络 攻击复杂度:低 所需权限:高 用户交互:无 影响范围:未改变 机密性影响:高 完整性影响:高 可用性影响:高