简介
Apache Unomi是一个Java开源客户数据平台,这是一个Java服务器,旨在管理客户,潜在顾客和访问者的数据,并帮助个性化客户体验。Unomi可用于在非常不同的系统(例如CMS,CRM,问题跟踪器,本机移动应用程序等)中集成个性化和配置文件管理。
漏洞描述
Apache Unomi允许远程攻击者使用可能包含任意类的MVEL和OGNL表达式发送恶意请求,从而产生具有Unomi应用程序特权的远程代码执行(RCE)。
影响版本
Apache Unomi < 1.5.2
漏洞复现
在首页进行抓包:
对数据包进行修改:
保留以下字段:
方式改为POST,并添加:
Content-Type:application/json
Content