影响范围
- Spring Framework 5.2.0 - 5.2.2
- Spring Framework 5.1.0 - 5.1.12
- Spring Framework 5.0.0 - 5.0.15
漏洞类型
反射型文件下载漏洞(RFD)
利用条件
1、响应header是通过org.springframework.http.ContentDisposition进行添加的
2、文件名是通过以下方式之一设置的:
- ContentDisposition.Builder#filename(String)
- ContentDisposition.Builder#filename(String, US_ASCII)
3、filename的值来自用户提供的输入
4、应用程序未清除用户提供的输入
5、攻击者已将下载的响应内容中注入恶意命令
攻击者可利用RFD漏洞,结合社工等方式,让用户下载一个恶意文件并执行,从而危害用户的终端安全
漏洞概述
2020年1月16日,Pivotal Software(Spring系列)官方发布 Spring Framework 存在 RFD(反射型文件下载漏洞)的漏洞报告,此漏洞为攻击客户端的漏洞,官方将漏洞严重程度评为高。报告指出,当响应中设置了“Content-Disposition”头且filename属性是用户可控时容易受到RFD攻击。
漏洞复现
环境搭建
❯ git clone https://github.com/motikan2010/CVE-2020-5398.git
❯ ./gradlew bootrun
环境搭建完成,开始利用。
http://172.16.125.128:8080/?filename=hack.sh%22%3B&contents=%23!%2Fbin%2Fbash%0Aid
所以说,通过社工的方式,选用权重较高的域名来实现攻击,成功率很大。
参考:
https://github.com/motikan2010/CVE-2020-5398
https://www.blackhat.com/docs/eu-14/materials/eu-14-Hafif-Reflected-File-Download-A-New-Web-Attack-Vector.pdf