CVE-2022-40955

今天Apache Inlong团队发布CVE-2022-40955漏洞:

https://lists.apache.org/thread/1bgg183v529xyyrjqvdwyst4w8vbh556

是我八月报告的一系列漏洞中第一个确认的,没什么好说的,后台MySQL JDBC URL漏洞,URL可控因此恶意MySQL服务端可利用autoDeserialize等参数实现反序列化,在特殊情况(有gadget)下导致RCE漏洞。鸡肋漏洞而已,需要后台权限且需要有链,图一乐吧,毕竟我没什么技术只会水一些垃圾洞。

感谢最近徐师(pyn3rd)的教导,我不过是站在巨人肩膀上,可惜技术不行面阿里云实习失败,有点遗憾的,不能跟着徐师做事情。

这种漏洞有三个研究角度:
(1)驱动方面的问题:
这些已经被大佬们研究完毕,包括MySQL/PgSQL/H2等,尝试卷一些小众产品没什么收获。
(2)实际的利用角度:
Github已经有成熟的恶意 MySQL_Fake_Server 项目,没必要重复造轮子。
(3)利用点:
哪些项目会存在JDBC URL可控的情况,侥幸大佬们留了口饭,除了WeblogicCSRF to JDBC Attack之外,只给DruidDS项目提交了漏洞。我花费一周的时间,没怎么睡觉,肉眼加写工具审计了包括Apache/Oracle/Spring系列上百个组件框架,寻找其中JDBC URL可控的情况,最终编写数十篇漏洞报告,虽然部分以条件过高等原因被拒绝了,但也有几个被认可。

关于这种类型的漏洞,应该是到头了,没有继续卷的必要了。

当然这只是开胃小菜,未来一个月,将会有更多的活接踵而至,敬请期待。