长亭百川云 - 文章详情

CVE-2022-2073 Grav CMS Twig SSTI RCE 漏洞及最新版补丁绕过

自在安全

63

2024-07-13

★且听安全-点关注,不迷路!

★漏洞空间站-优质漏洞资源和小伙伴聚集地!

**漏洞信息
**

Grav 是一个快速、简单、灵活、基于文件的开源网络平台,在 Github 上的 Star 达到 13.3k 。

Grav CMS 可以通过 Twig 来进行页面的渲染,曾经爆出过模板注入漏洞 CVE-2021-29440 ,但是修复不彻底, 近期监测又通报了 CVE-2022-2073 ,这个漏洞可以理解为是 CVE-2021-29440 补丁的绕过吧。影响最新版 v1.7.34 以下的版本。

**Twig 渲染
**

Grav CMS 支持 Twig 模板引擎进行页面渲染:

对应在 `/user/pages` 页面模板目录下存在配置信息:

`title: Home``body_classes: 'title-center title-h1h2'``process:`    `markdown: true`    `twig: true`

默认安装的 Twig 为 v1.x 系列:

接到请求后通过 `Twig#processSite` 来加载页面:

函数会调用 `$page#content` 来获取页面内容,如果开启了 Twig 渲染页面功能,将进入 `processTwig` 函数:

Twig 完成页面渲染的主要代码段如下:

**CVE-2021-29440 及补丁
**

Twig 模板引擎的沙箱功能禁用了 PHP 函数,但是可以通过 `registerUndefinedFunctionCallback` 注册回调函数的方式执行 PHP 函数,而 Grav CMS 在 `Twig#init` 完成 Twig 定义时刚好就注册了回调过程,历史上 Grav CMS 就曾经在这个地方爆出过 RCE 漏洞 CVE-2021-29440 ,影响 v1.7.10 及以下版本,当时定义的 `registerUndefinedFilterCallback` 回调过程没有对 PHP 函数进行任何限制:

直接通过 `system('id')` 就可以实现命令执行。在新版本中增加了危险函数检查:

函数黑名单如下:

常见的 PHP 执行命令、包含文件、读写文件以及回调处理等函数都加入了黑名单,对 PHP 才粗学浅没有找到遗漏的可利用函数,尝试在 PHP 函数名和括号间加入控制符号绕过黑名单也没有成功(小伙伴有兴趣可以找找漏掉的...)。

**CVE-2022-2073
**

绕过上面的补丁非常简单,因为 Twig 模板渲染还可以使用过滤器来实现 RCE :

**修复方式及绕过
**

v1.7.34 版本中修复了漏洞,补丁对比如下:

对过滤器 `filter` 增加了检查:

但是也很好绕过。

由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,且听安全及文章作者不为此承担任何责任。

★且听安全-点关注,不迷路!****

★漏洞空间站-优质漏洞资源和小伙伴聚集地!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2