关于Apache Fineract存在远程代码执行漏洞的风险提示
安天CERT
1 概述
Apache Fineract是一款金融服务开源软件,用于核心银行系统平台化建设,为创业者、金融机构和服务提供商提供了一个可靠、强大且经济实惠的金融服务解决方案。
2022年11月30日,安天CERT监测到Apache在2022年11月29日发布安全公告,称Apache Fineract存在远程代码执行漏洞。经过身份验证的攻击者可利用此漏洞删除或覆盖系统文件,Fineract加载攻击者上传的恶意文件时将远程执行恶意代码。安天CERT建议用户及时将Apache Fineract升级到1.7.1或1.8.1版本,以免受到该漏洞的影响。
2 漏洞详述
该漏洞编号为:CVE-2022-44635。该漏洞是由于FileSystemContentRepository.java类对用户传入的文件路径名检查不严格导致路径遍历,经过身份验证的攻击者可利用此漏洞删除或覆盖系统文件,Fineract加载攻击者上传的恶意文件时将远程执行恶意代码。
3 受影响范围
Apache Fineract < 1.8.1(1.7.1不受影响)
4 漏洞修复建议
安天CERT建议用户及时将Apache Fineract升级到1.7.1或1.8.1版本。官方升级版本下载地址如下:
https://cwiki.apache.org/confluence/display/FINERACT/1.7.1+-+Apache+Fineract
https://cwiki.apache.org/confluence/display/FINERACT/1.8.1+-+Apache+Fineract
https://fineract.apache.org/
[2] Apache发布的通告
https://lists.apache.org/thread/t8q6fmh3o6yqmy69qtqxppk9yg9wfybg
[3] Fineract项目安全报告
https://cwiki.apache.org/confluence/display/FINERACT/Fineract+Project+Security+Report
[4] CVE报告
https://cve.report/CVE-2022-44635
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论