关于Apache Fineract存在远程代码执行漏洞的风险提示

安天CERT

1 概述

Apache Fineract是一款金融服务开源软件，用于核心银行系统平台化建设，为创业者、金融机构和服务提供商提供了一个可靠、强大且经济实惠的金融服务解决方案。

2022年11月30日，安天CERT监测到Apache在2022年11月29日发布安全公告，称Apache Fineract存在远程代码执行漏洞。经过身份验证的攻击者可利用此漏洞删除或覆盖系统文件，Fineract加载攻击者上传的恶意文件时将远程执行恶意代码。安天CERT建议用户及时将Apache Fineract升级到1.7.1或1.8.1版本，以免受到该漏洞的影响。

2 漏洞详述

该漏洞编号为：CVE-2022-44635。该漏洞是由于FileSystemContentRepository.java类对用户传入的文件路径名检查不严格导致路径遍历，经过身份验证的攻击者可利用此漏洞删除或覆盖系统文件，Fineract加载攻击者上传的恶意文件时将远程执行恶意代码。

3 受影响范围

Apache Fineract < 1.8.1（1.7.1不受影响)

4 漏洞修复建议

安天CERT建议用户及时将Apache Fineract升级到1.7.1或1.8.1版本。官方升级版本下载地址如下：

https://cwiki.apache.org/confluence/display/FINERACT/1.7.1+-+Apache+Fineract

https://cwiki.apache.org/confluence/display/FINERACT/1.8.1+-+Apache+Fineract

附录一：参考资料

[1] Apache Fineract官方网站

https://fineract.apache.org/

[2] Apache发布的通告

https://lists.apache.org/thread/t8q6fmh3o6yqmy69qtqxppk9yg9wfybg

[3] Fineract项目安全报告

https://cwiki.apache.org/confluence/display/FINERACT/Fineract+Project+Security+Report

[4] CVE报告

https://cve.report/CVE-2022-44635