POC Apache Tapestry远程代码执行漏洞

Shacker · 09 13, 2024

JavaScript:

## Apache Tapestry远程代码执行漏洞
### 说明

Apache Tapestry是一种用Java编写的面向组件的Web应用程序框架。Tapestry可以在任何应用程序服务器下工作，并且可以轻松集成所有后端，如Spring，Hibernate等。
### CVE-2019-0195

在CVE-2019-0195中，poc为 `http://localhost:8080/assets/something/services/AppModule.class` 可以下载文件AppModule.class
### CVE-2021-27850,bypass: /

2021年04月14日，Apache Tapestry披露（CVE-2021-27850），是CVE-2019-0195的bypass
可以通过在URL结尾添加“/”来绕过。
poc：

`http://localhost:8080/assets/something/services/AppModule.class/`

AppModule.class文件通常包含用于对序列化的Java对象进行签名的HMAC秘钥，在知道该密钥的情况下，攻击者就可以签署Java小工具链（例如ysoserial的CommonsBeanUtils1），最终导致远程代码执行。

## 参考：

- https://vulmon.com/exploitdetails?qidtp=maillist_oss_security&qid=bce28d0846e3744d5a63753f984f7bcf
- https://lists.apache.org/thread.html/r237ff7f286bda31682c254550c1ebf92b0ec61329b32fbeb2d1c8751%40%3Cusers.tapestry.apache.org%3E
- https://lists.apache.org/thread.html/5173c4eed06e2fca6fd5576ed723ff6bb1711738ec515cb51a04ab24@%3Cusers.tapestry.apache.org%3E

	POC Apache Kylin Shacker 09 10, 2024 POC/?Day
	POC Apache-Tomcat Shacker 09 12, 2024 POC/?Day
	综合 Apache Flink 1.11.0 Shacker 09 10, 2024 POC/?Day
	POC Apache Tapestry Shacker 09 13, 2024 POC/?Day
	POC Apache Flink Shacker 09 10, 2024 POC/?Day