一、 漏洞 CVE-2020-13942 基础信息
漏洞信息
                                        # Apache Unomi 远程代码执行漏洞

## 漏洞概述
在Apache Unomi的/context.json公共端点中,可以注入恶意的OGNL或MVEL脚本。这在1.5.1版本中部分修复,但后来又发现了一个新的攻击途径。在1.5.2版本中,脚本已被从输入中完全过滤。

## 影响版本
- Apache Unomi 1.5.1及之前版本

## 漏洞细节
- 对/context.json端点进行恶意OGNL或MVEL脚本注入。
- 1.5.1版本修复部分漏洞,但在该版本中仍存在其他攻击途径。
- 1.5.2版本修复了该漏洞,通过完全过滤脚本输入。

## 影响
- 可能允许攻击者通过恶意脚本执行任意代码。
- 推荐将Apache Unomi升级到1.5.x系列的最新版本。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Remote Code Execution in Apache Unomi
来源:美国国家漏洞数据库 NVD
漏洞描述信息
It is possible to inject malicious OGNL or MVEL scripts into the /context.json public endpoint. This was partially fixed in 1.5.1 but a new attack vector was found. In Apache Unomi version 1.5.2 scripts are now completely filtered from the input. It is highly recommended to upgrade to the latest available version of the 1.5.x release to fix this problem.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Unomi 注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Unomi是美国阿帕奇软件(Apache Software)基金会的一套开源的客户数据平台。该平台主要使用Java语言编写。 Apache Unomi 1.5.2之前版本存在注入漏洞,该漏洞源于可以将恶意的OGNL或MVEL脚本注入/context.json公共端点。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-13942 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/lp008/CVE-2020-13942 POC详情
2 CVE-2020-13942 unauthenticated RCE POC through MVEL and OGNL injection https://github.com/eugenebmx/CVE-2020-13942 POC详情
3 CVE-2020-13942 POC + Automation Script https://github.com/shifa123/CVE-2020-13942-POC- POC详情
4 None https://github.com/blackmarketer/CVE-2020-13942 POC详情
5 CVE-2020-13942 Apache Unomi 远程代码执行漏洞脚getshell https://github.com/yaunsky/Unomi-CVE-2020-13942 POC详情
6 Apache Unomi CVE-2020-13942: RCE Vulnerabilities https://github.com/hoanx4/apche_unomi_rce POC详情
7 None https://github.com/Prodrious/CVE-2020-13942 POC详情
8 None https://github.com/corsisechero/CVE-2020-13942byVulHub POC详情
9 Apache Unomi allows conditions to use OGNL and MVEL scripting which offers the possibility to call static Java classes from the JDK that could execute code with the permission level of the running Java process. This vulnerability affects all versions of Apache Unomi prior to 1.5.2. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-13942.yaml POC详情
10 None https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Apache%20Unomi%20%E8%BF%9C%E7%A8%8B%E8%A1%A8%E8%BE%BE%E5%BC%8F%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2020-13942.md POC详情
11 https://github.com/vulhub/vulhub/blob/master/unomi/CVE-2020-13942/README.md POC详情
三、漏洞 CVE-2020-13942 的情报信息