Бесплатно Экспресс-аудит сайта:

21.11.2020

В приложении CWA для отслеживания распространения COVID-19 обнаружена RCE-уязвимость

Специалисты из GitHub Security Labs обнаружили критическую уязвимость в официальном немецком приложении Corona-Warn-App (CWA) для отслеживания контактов с больными коронавирусной инфекцией (COVID-19). Ее эксплуатация могла позволить злоумышленнику удаленно выполнить произвольный код.

Уязвимый код находился в Submission Service — микросервисе, разработанном на основе платформы Spring Boot и отвечающем за проверку информации, отправляемой пользователями CWA. Для этого используется функция SubmissionController, которая проверяет различные аспекты предоставленной пользователем информации, например, заполненность всех обязательных полей. Данные проверяются валидатором ValidSubmissionPayload.

«Если какие-либо проверенные свойства объекта bean передаются в настраиваемый шаблон нарушения ограничений, контролируемое злоумышленником свойство будет оцениваться как выражение Expressional Language, позволяя производить оценку произвольного Java-кода», — пояснили исследователи.

Любые POST-запросы, отправляемые в конечную точку Submission, разрешены по умолчанию и не требуют дополнительной авторизации или аутентификации. А сама конечная точка представления является общедоступной, что позволяет осуществлять удаленное взаимодействие.

Команда экспертов сообщила компании-разработчику SAP о своих находках и совместно работала с ней над устранением проблемы.