中创应用服务器(简称inforsuite as)是山东中创软件商用中间件股份有限公司的一款应用服务器产品,该产品是javaee和web服务应用程序平台。
近期,中创应用服务器v10版本低权限用户越权部署jar包、目录遍历的安全漏洞问题,目前厂商已发布临时凯时k66会员登录的解决方案,建议受影响的用户及时采用临时修复方案进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
(一) 低权限用户越权部署jar包 远程攻击者可使用低权限用户越权部署jar包,并可配合任意jar包上传漏洞实现远程代码执行。
(二) 上传jar包,实现目录遍历 普通用户可以利用appserver/fileuploadjar.jsf上传任意jar包,由于getoriginalname()函数对用户数据过滤不严格,导致可以通过构造iasname变量实现目录穿越,上传jar包到autodeploy目录,实现自解压并部署应用。
(三) 通过参数路径穿越获取管理员token登录系统,获取webshell 普通用户通过/common/logviewer/logentrydetail.jsf的logfile参数路径穿越实现任意文件读取获取管理员认证token,并且通过token登录系统后进行war包部署获取webshell。
(四) cnvd-c-2022-123499 逻辑缺陷漏洞: 中创应用服务器软件v10.0.1.4存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。使用系统内置securityuser账户进行登录,将audituser提升为asadmin权限,退出系统,使用audituser账户登录,成功提升为管理员。目前已修复该漏洞,限制修改默认用户权限。
(五) cnvd-c-2022-123040、cnvd-c-2022-62351、cnvd-2022-16319 弱口令漏洞:中创应用服务器软件v10.0.1.4存在弱口令漏洞,攻击者通过弱口令进入控制台可以上传shell,可以通过shell获取服务器权限。目前该漏洞已处理,用户登录后将强制修改口令。
升级包md5码:
v10版本 60ae002f1892b5fd672aef52fc9e61c6
