写点什么

CVE-2023-23752 Joomla 未授权访问漏洞分析

作者:墨菲安全
  • 2023-02-23
    北京
  • 本文字数:1380 字

    阅读完需:约 5 分钟

漏洞概要

Joomla 在海外使用较多,是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时未对请求参数有效过滤,导致攻击者可向 Joomla 服务端点发送包含 public=true 参数的请求(如:/api/index.php/v1/config/application?public=true&key=value) 进行未授权访问。


  • 修复方案:在 4.2.8 版本中对漏洞进行了修复,建议用户将 Joomla 升级至 4.2.8 及以上版本

  • 漏洞链接: https://www.oscs1024.com/hd/MPS-2023-1918


以下内容来自公众号《安全日记》 Erikten 对该漏洞的分析:

0x00 环境搭建

直接去 Github 上下载即可


 https://github.com/joomla/joomla-cms/releases/tag/4.2.8
复制代码

0x01 漏洞分析

这个漏洞的本质就是一个变量覆盖导致的越权,我们可以去 diff 一下,看看官方是怎么修复这个变量覆盖漏洞的


`https://github.com/joomla/joomla-cms/commit/5897df8ee39056fbd37624eeeeff1b81e24d84ef#diff-865580463b5f16d45dc41be7d57bf9f2ab7dd875215c2ad0471247f63b9e1b4c` 
复制代码



array_key_exists()的作用就是判断数组中是否包含指定的键名,如果存在 public 这个键为 true,接着通过 unset()直接销毁这个变量。到这里聪明的你指定知道大概是怎么事儿了,就是覆盖了 public 这个变量,导致的越权


我们直接在第一处红框哪里打断点,这里为了方便复现漏洞,先注释掉补丁,访问


/api/index.php/v1/config/application?public=true&key=value
复制代码


可以看到 $query 接收了我们请求的参数



继续往下跟,会进行一个正则匹配,看看我们的请求方式以及路径是否合法




我们直接强制跳转到循环体内,可以看到 $vars 的值是获取的路由的默认值,这里 public 的值是 false



这里因为 $route 下的 routeVariables 值为空,所以不会进入循环体



接着通过 $route->getController()获取当前 route 的 controller,里边的值分别对应控制器以及其下的方法名字



敲黑板敲黑板,接下来就是真正实现变量覆盖的地方,程序通过 array_merge()来将多个变量合并到同一个数组下,可以看到此时 $vars 下边的 public 是 false 的



但是经过 array_merge()处理,将 $query 的值进行合并的时候发生了覆盖,可以看一下官方对于 array_merge()的解释



所以合并后的 public 变成了 true



为什么说这里改了 public 为 true 就能越权,这是因为 libraries/src/Application/ApiApplication.php:304 进行了权限校验,如果 $route 下的 public 存在或者 public 的值为 false,那么就进行身份校验



最终我们就绕过了身份校验,实现了越权



在前面分析的时候会有一个遍历 routes 的操作,那些都是受影响的接口


免费情报订阅 & 代码安全检测

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕 SBOM 提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。


代码安全检测: https://www.murphysec.com/?sf=v832dc情报订阅: https://www.oscs1024.com/cm/?sf=v832dc漏洞库:https://www.oscs1024.com/hl/?sf=v832dc



用户头像

墨菲安全

关注

还未添加个人签名 2022-03-23 加入

还未添加个人简介

评论

发布
暂无评论
CVE-2023-23752 Joomla未授权访问漏洞分析_漏洞分析_墨菲安全_InfoQ写作社区