研究人员披露影响Quarkus Java框架的关键RCE漏洞

Quarkus Java框架中披露了一个严重的安全漏洞，该漏洞可能被利用以在受影响的系统上实现远程代码执行。

被追踪为CVE-2022-4116（CVSS评分：9.8），该缺点可能会被没有任何特权的恶意行为者滥用。

报告该漏洞的对比安全研究人员约瑟夫·比顿（Joseph Beeton）在一篇报道中表示：“该漏洞位于Dev UI配置编辑器中，易受本地主机攻击，从而导致远程代码执行（RCE）”。

Quarkus由Red Hat开发，是一个开源项目，用于在容器化和无服务器环境中创建Java应用程序。

值得指出的是，该问题只影响运行Quarkus的开发人员，他们被诱骗访问一个精心制作的网站，该网站嵌入了恶意JavaScript代码，旨在安装或执行任意有效负载。

这可以采取鱼叉式网络钓鱼或水坑攻击的形式，而不需要受害者进行任何进一步的互动。或者，可以通过在开发者经常光顾的热门网站上发布流氓广告来阻止攻击。

通过开发模式提供的开发UI绑定到本地主机（即当前主机），允许开发人员监视应用程序的状态、更改配置、迁移数据库和清除缓存。

由于它仅限于开发人员的本地计算机，Dev UI还缺少关键的安全控制，如身份验证和跨源资源共享（CORS），以防止欺诈网站读取其他网站的数据。

Contrast Security发现的问题在于，恶意软件网站上托管的JavaScript代码可以被武器化，通过HTTP POST请求修改Quarkus应用程序配置，以触发代码执行。

Quarkus在一份独立咨询中指出：“虽然它只影响开发模式，但影响仍然很大，因为它可能会导致攻击者在本地访问您的开发盒”。

建议用户升级到2.14.2.Final和2.13.5.Final版本，以防止该缺陷。一种可能的解决方法是将所有非应用程序端点移动到随机根路径。