Melis Platform CMS针对关键RCE漏洞进行了修补CVE-2022-39297

Melis Platform是开源电子商务和内容管理系统(CMS),由于一个严重的反序列化漏洞而容易受到远程代码执行(RCE)的攻击。跟踪为CVE-2022-39297和CVSS得分为9.8,对象注入漏洞已由法国供应商Melis Technology与一对高严重性错误一起修补。Melis Platform基于Laminas,这是一个流行的PHP框架,正式名称为Zend,其用户包括Keyrus、Paco Rabanne和La Banque Postale。

这些漏洞是由瑞士安全机构Sonar的研究人员发现的。

“我们发现的主要漏洞来自用户数据的反序列化,这在很长一段时间内都被认为是不安全的,”Sonar漏洞研究员 Thomas Chauchefoin说。

“由于现代应用程序的耦合非常松散,即使是受过教育的人也无法立即看出攻击者可以访问此代码。这就是自动代码分析非常强大的地方,”他们补充道。

在利用Sonar的静态分析工具确定了滥用PHP 的unserialize()函数的可能性后,研究人员通过制作面向属性的编程(POP)链来测试可利用性。

“PHP中反序列化漏洞的有趣之处在于,当您冒险 [移动] 自己脱离通常的目标时,没有那么多可用的小工具链;它们就像你必须组装才能执行代码的小拼图,”Chauchefoin说。

“我们必须为Laminas框架设计一个新的链。我们将它添加到PHPGGC中,这是一个最常见的小工具链的公共数据库,因此其他研究人员不必再做这项工作了!”

在一篇博文中,Chauchefoin和Sonar软件工程师Karim El Ouerghemmi记录了他们如何针对Laminas的缓存层。

“缓存系统通常是很好的目标,因为它们的设计方式与应用程序的其余部分松散耦合(例如,通过使用析构函数在请求的生命周期结束时自动触发保存)并支持广泛的存储后端,包括文件系统,”他们写道。“也可以假设,获得控制缓存中存储内容的能力可能会在稍后被检索时被滥用,这些数据始终被认为是可信的。”

Sonar的研究人员发现的其他高严重性问题包括CVE-2022-39296(任意文件读取错误)和CVE-2022-3929(QEMU中NVM Express控制器(NVME)仿真中的DMA重入漏洞,可能导致拒绝服务(DoS)或代码执行。

Sonar早在2021年6月就向Melis Technology报告了这些漏洞,并于2022年9月23日发布了补丁更新。

这些缺陷影响了2.2.0和5.0.0(含)的版本,并在Melis 5.0.1中得到了修复。

发表评论

评论已关闭。

相关文章