正文

BrowserUp Proxy <= 2.1.2 远程代码执行漏洞

admin
admin V管理员 /0 评论 /15 阅读
0418
此篇文章发布距今已超过1153天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2020-26282

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2020-12-25
漏洞描述
Browserup Proxy是美国Browserup公司的一款用于监视,测试和操纵Web应用程序的网络流量和性能的软件。 BrowserUp Proxy 存在注入漏洞,攻击者可利用该漏洞可以注入任意Java EL表达式,从而导致未经身份验证的远程代码执行(RCE)漏洞。
解决建议
升级至补丁版本2.1.2。
参考链接
https://github.com/browserup/browserup-proxy/commit/4b38e7a3e20917e5c3329d0d4...
https://github.com/browserup/browserup-proxy/releases/tag/v2.1.2
https://github.com/browserup/browserup-proxy/security/advisories/GHSA-wmfg-55f9-j8hq
https://securitylab.github.com/research/bean-validation-RCE
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 browserup browserup_proxy * Up to
(excluding)
2.1.2
阿里云评分 9.6
  • 攻击路径 远程
  • 攻击复杂度 容易
  • 权限要求 无需权限
  • 影响范围 全局影响
  • EXP成熟度 EXP 已公开
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 传输被破坏
  • 服务器危害 服务器失陷
  • 全网数量 N/A
CWE-ID 漏洞类型 CWE-74 输出中的特殊元素转义处理不恰当(注入)