Bonitasoft Platform RCE漏洞复现(CVE-2022-25237)

已于 2023-01-12 20:16:12 修改
阅读量762 收藏 2
点赞数 2
分类专栏: 漏洞复现 文章标签: 安全 web安全 网络安全
于 2023-01-12 15:46:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/128660491
版权
本文详细介绍了Bonitasoft Platform中的远程代码执行(RCE)漏洞(CVE-2022-25237),该漏洞源于API授权过滤器配置错误,允许普通用户权限的攻击者通过构造特定URL执行恶意代码。影响范围包括多个社区版和订阅版。文章提供环境搭建指南,利用流程以及GitHub上的POC代码,并建议用户更新到安全版本以修复漏洞。
摘要由CSDN通过智能技术生成

1、产品简介

 Bonitasoft 是一个业务自动化平台,可以更轻松地在业务流程中构建、部署和管理自动化应用程序;Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。

2、漏洞概述

 在Bonitasoft Authorization漏洞版本,由于 API 授权过滤器中配置问题,通过精心构造的的字符串附加到 API URL,能够绕过权限认证。拥有普通用户权限的攻击者在绕过权限认证后,将恶意代码部署到服务器上,进行远程代码执行。

3、影响范围

For community(社区版):
2022.1-u0 (7.14.0) 以下

For subscription(订阅版):
2022.1-u0 (7.14.0) 以下

2021.2-u4 (7.13.4) 以下

2021.1-0307 (7.12.11) 以下

7.11.7 以下

4、环境搭建

    vulfocus在线靶场进行复现

 5、利用流程

 1、访问靶场环境,使用

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
专栏目录
订阅专栏
GeoServer /geoserver/wms RCE漏洞复现(CVE-2022-24816)
0xSec
05-15 1821
GeoServer /geoserver/wms 接口处存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意shell命令,从而获取服务器权限。
Bonita:带有工作流引擎的基于 DPA 流程的应用平台-开源
05-29
Bonitasoft 使用 Bonita 完全支持数字运营和 IT 现代化,Bonita 是一个用于自动化和优化业务流程的开源和可扩展平台。 Bonita 平台通过明确区分可视化编程和编码功能来加速开发和生产。 Bonita 与现有信息系统集成,协调异构系统,并提供对整个组织流程的深入可见性。 在 www.bonitasoft.com 上了解更多信息
CVE-2022-25237 Bonitasoft Platform RCE漏洞复现
热爱学习,喜欢折腾!
10-19 1541
Bonitasoft 是一个业务自动化平台,可以更轻松地在业务流程中构建、部署和管理自动化应用程序;Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。在Bonitasoft Authorization漏洞版本,由于 API 授权过滤器中配置问题,通过精心构造的的字符串附加到 API URL,能够绕过权限认证。拥有普通用户权限的攻击者在绕过权限认证后,将恶意代码部署到服务器上,进行远程代码执行。
常见的框架漏洞
最新发布
m0_63944205的博客
08-07 997
ThinkPHP是为了简化企业级应⽤开发和敏捷WEB应⽤开发⽽诞⽣的,是⼀个快速、兼容⽽ 且简单的轻量级国产PHP开发框架,诞⽣于2006年初,原名FCS,2007年元旦正式更名为 ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴 了国外很多优秀的框架和模式,使⽤⾯向对象的开发结构和MVC模式,融合了Struts的思想和 TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。
最新系统漏洞--Microsoft Windows MSHTML Platform远程代码执行漏洞
weixin_48555088的博客
10-25 360
最新系统漏洞2021年10月25日 受影响系统: Microsoft Windows Server 2019 Microsoft Windows Server 2016 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2008 R2 for x64-based S Microsoft Windows Server 2008 for x64-based Syst Microsoft
CVE-2022-25237 Bonitasoft 认证绕过和RCE漏洞分析及复现
蚁景网安学院
01-10 934
前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者,望谅解。一、漏洞原理漏洞简述Bonitasoft 是一个业务自动化平台,可以更轻松地在业务流程中构建、部署和管理自动化应用程序;Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。Bonita Web 202...
Spring Rce 漏洞分析CVE-2022-22965
embelfe_segge的博客
08-02 3893
SpringFramework是一个开源的轻量级J2EE应用程序开发框架。3月31日,VMware发布安全公告,修复了SpringFramework中的远程代码执行漏洞CVE-2022-22965)。在JDK9及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。...
Spring RCE 漏洞 CVE-2022-22965 的终极解决方案
热门推荐
oscar999的专栏
04-01 1万+
Spring框架爆出的RCE(远程命令执行)漏洞,现在这个漏洞有了统一的编号: **CVE-2022-22965**。 这个漏洞的主要原因是在JDK 9+版本里,Spring MVC 的数据绑定时出现的漏洞
SpringCloud Function SpEL注入漏洞分析(CVE-2022-22963).doc
07-08
SpringCloud Function SpEL 注入漏洞分析(CVE-2022-22963) SpringCloud Function 是 Spring 提供的一套分布式函数式编程组件,旨在帮助开发者专注于业务逻辑实现,而不需要关心服务器环境运维等问题。然而,在 ...
Bonita:具有工作流引擎的基于DPA流程的应用程序平台-开源
05-12
Bonitasoft通过Bonita(一个开放源代码,可扩展的平台,用于业务流程的自动化和优化)完全支持数字运营和IT现代化。 Bonita平台将可视化编程和编码功能之间的明确区分加速了开发和生产。 Bonita与现有信息系统集成,协调异构系统,并提供对整个组织流程的深入了解。 在www.bonitasoft.com上了解更多信息
BonitaBPM流程引擎介绍.pdf
06-09
BonitaSoft公司流程引擎全面介绍 开箱即用流程开发利器 https://www.bonitasoft.com/ 2020年community最新版7.10,社区版本更新频繁
JBoss Enterprise Application Platform安全绕过漏洞
weixin_30492047的博客
01-05 529
漏洞版本: JBoss Enterprise Application Platform (即JBoss EAP或JBEAP) 6.0.1之前版本 漏洞描述: CVE ID:CVE-2012-4550 JBOSS是一个基于J2EE的开放源代码的应用服务器。 当使用基于角色的授权用于Enterprise Java Beans (EJB)访问时,必须使用JACC权限来判断访...
FlawPlatform (漏洞靶场) 毕设作品
JOHNSON 抓什 的博客
01-06 2725
毕设作品,希望各位师傅多多指教。因为在学校的安全比赛,训练的时候总是会因为没有环境烦恼。加上马上要毕业了,老师也时不时的让我选人。所以就想到了漏洞靶场,这样可以用于日常训练,又可以用于选拔人才,或是授课、校内小型比赛等 欢迎师傅们指导:https://gitee.com/J0hNs0N/FlawPlatform/tree/master 详细进 gitee 查看,下面只是预览。 ...
Bonitasoft认证绕过和RCE漏洞分析及复现CVE-2022-25237
蚁景网安学院
01-10 610
Bonitasoft 是一个业务自动化平台,可以更轻松地在业务流程中构建、部署和管理自动化应用程序;Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。Bonita Web 2021.2版本受到认证绕过影响,因为其API认证过滤器的过滤模式过于宽泛。
转载:bolt cms V3.7.0 xss和远程代码执行漏洞
qq_43233085的博客
08-14 534
转载:bolt cms V3.7.0 xss和远程代码执行漏洞漏洞环境搭建漏洞分析XSS成因分析远程代码执行成因分析漏洞测试xss远程代码执行影响版本防御方案 漏洞环境搭建 github上下载对应版本,这里下载3.7.0. https://github.com/bolt/bolt/releases 解压后需要重命名以下文件: mv .bolt.yml.dist .bolt.yml mv composer.json.dist composer.json mv composer.lock.dist compo
java流程引擎实现_【BPM架构】 最棒的业务流程管理平台 简化你的业务流程编排...
weixin_39761255的博客
12-26 1677
业务流程管理软件主要用于为人们提供设计,构建,分析,修改和测试各种业务流程的平台。它有助于有效模拟业务流程生命周期的各个阶段,从而实现高度准确的实施。然后分析在流程执行期间创建的日志的潜在模式的瓶颈,漏洞和其他低效率。虽然专有BPM软件产品通常作为独立解决方案存在,需要对每个业务逻辑开发生命周期流程进行独立维护,但开源软件产品与持续集成和交付管道的兼容性更高,可实现有效的IT资产管理。业务流程管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值