In dotCMS, einem in Java geschriebenen Open-Source-Content-Management-System, das „von über 10.000 Kunden in mehr als 70 Ländern rund um den Globus genutzt wird, von Fortune-500-Marken bis hin zu mittelständischen Unternehmen“, wurde eine Sicherheitslücke entdeckt, die die Ausführung von Remote-Code ermöglicht.
Die kritische Schwachstelle mit der Bezeichnung CVE-2022-26352 ist auf einen Directory Traversal Angriff beim Hochladen von Dateien zurückzuführen, der es einem Angreifer ermöglicht, beliebige Befehle auf dem zugrunde liegenden System auszuführen.
„Ein Angreifer kann beliebige Dateien auf das System hochladen“, so Shubham Shah von Assetnote in einem Bericht. „Durch das Hochladen einer JSP-Datei in das Root-Verzeichnis des Tomcats ist es möglich, Code auszuführen, was zur Ausführung von Befehlen führt.
Mit anderen Worten: Die Schwachstelle beim Hochladen beliebiger Dateien kann missbraucht werden, um bereits vorhandene Dateien im System durch eine Web-Shell zu ersetzen, die dann für einen dauerhaften Fernzugriff genutzt werden kann.
Obwohl der Exploit es ermöglichte, in beliebige JavaScript-Dateien zu schreiben, die von der Anwendung bereitgestellt wurden, sagten die Forscher, dass der Fehler so beschaffen ist, dass er zur Ausführung von Befehlen genutzt werden kann.
AssetNote gab an, den Fehler am 21. Februar 2022 entdeckt und gemeldet zu haben, woraufhin Patches in den Versionen 22.03, 5.3.8.10 und 21.06.7 veröffentlicht wurden.
„Wenn Dateien über die Content-API in dotCMS hochgeladen werden, aber bevor sie zu Inhalten werden, schreibt dotCMS die Datei in ein Temp-Verzeichnis“, so das Unternehmen. „Im Fall dieser Schwachstelle bereinigt dotCMS den Dateinamen, der über den Multipart Request Header übergeben wird, nicht und bereinigt somit auch nicht den Namen der temporären Datei.
„Bei diesem Exploit kann ein Angreifer eine spezielle .jsp-Datei in das webapp/ROOT-Verzeichnis von dotCMS hochladen, was die Ausführung von Remote-Code ermöglicht“, so das Unternehmen.