Apache Unomi 表达式注入远程代码执行漏洞（CVE-2020-13942） | Brown 博客

type

status

date

slug

summary

tags

category

icon

password

Apache Unomi 表达式注入远程代码执行漏洞（CVE-2020-13942）

Apache Unomi 是一个基于标准的客户数据平台（CDP，Customer Data Platform），用于管理在线客户和访客等信息，以提供符合访客隐私规则的个性化体验。在Apache Unomi 1.5.1级以前版本中，存在一处表达式注入漏洞，远程攻击者通过MVEL和OGNL表达式即可在目标服务器上执行任意命令。

漏洞环境

环境启动后，通过http://your-ip:8181或https://your-ip:9443即可访问到Unomi的API。

漏洞复现

通过8181和9443两个端口均可触发漏洞，以下以8181为例。

notion image

漏洞利用成功

notion image

或者通过OGNL表达式执行任意命令均可：

作者:brown
链接:https://bbrownn.dpdns.org//article/CVE-2020-13942
声明:本文采用 CC BY-NC-SA 4.0 许可协议，转载请注明出处。

相关文章

Kioptrix Level 2入门级详细教程

Lazy loaded image

Kioptrix Level 1 古老的 Apache&KVM1靶场练习

Lazy loaded image

Drupal Core 8 PECL YAML反序列化远程代码执行漏洞（CVE-2017-6920）

Lazy loaded image

OpenPrinting Cups-Browsed PDD FoomaticRIPCommandLine 参数导致远程命令执行漏洞（CVE-2024-47177）

Lazy loaded image

Couchdb 任意命令执行漏洞（CVE-2017-12636）

Lazy loaded image

Apache CXF Aegis DataBinding 服务端请求伪造漏洞 (CVE-2024-28752)

Lazy loaded image

elFinder ZIP 参数与任意命令注入（CVE-2021-32682）Jetbrains TeamCity 认证绕过导致远程命令执行漏洞（CVE-2023-42793

Loading...

目录

0%

brown

一个普通的干饭人🍚

最新发布

VMP强壳脱壳&VMP3.8.4入门脱壳教程

xdbg最新实战&软件逆向&新手入门实战&软件破解&无壳

Kioptrix Level 2入门级详细教程

Kioptrix Level 1 古老的 Apache&KVM1靶场练习

XH补丁制作工具的使用&入门级补丁的使用

公告

🎉欢迎光临我的个人博客！🎉

-- 感谢您的支持 ---

👏您的建议对我万分宝贵👏

目录

0%