LabKey Community Edition服务器多个漏洞

cve - 2019 - 3911: XSS反映出来

无数的XSS漏洞存在于LabKey服务器18.3.0之前Community Edition。对所有查询- *函数查询中观众除了query-selectAllRows,“查询。类型”参数特别是似乎并不以任何方式验证或消毒。由于这个参数是反映在输出给用户浏览器和解释的,一个跨站脚本攻击成为可能。这允许攻击者的上下文中运行任意代码用户的浏览器。

这些攻击都可能通过身份验证的任何项目以及通过额外的未经身份验证的“__r #”路径,有限的功能,但都有一个默认安装。

下面是例子的攻击没有身份验证,然后触发身份验证。攻击包括查询中包括一个图像标记。与一个无效的参数来源。当浏览器尝试加载图片,它会引发一个错误,这导致javascript运行“警报(1)”。

http://(主机)/ labkey __r2 / query-printRows.view ? schemaName = ListManager&query.queryName = ListManager&query.sort = Nameelk5q % 3 cimg % 20 src % 3 da % 20 onerror % 3 dalert (1) % 3 ezp59r&query.containerfiltername = CurrentAndSubfolders&query.selectionKey = % 24 listmanager % 24 listmanager % 24% 24 query&query.showrows =

http://(主机)/ labkey test_project / query-printRows.view ? schemaName = ListManager&query.queryName = ListManager&query.sort =名字% 3 cimg % 20 src % 3 da % 20 onerror % 3 dalert (1) % 3 e

这也会影响其他模块中的参数,如公告,这很容易引发未经身份验证的通过公告。参数或其他参数,反映在响应。

cve - 2019 - 3912:开放的重定向

通过在LabKey returnUrl存在重定向服务器开放。__r路径似乎是最简单的操作。攻击者可能会利用这些将用户重定向到一个位置被攻击者控制自己。

GET / labkey / __r1 / login-login.view ? returnUrl = http://evil。tld HTTP / 1.1主机(主机):接受编码:gzip、deflateAccept: * / *接收语言:en - agent: Mozilla / 5.0(兼容;MSIE 9.0;Windows NT 6.1;Win64;x64;三叉戟/ 5.0)连接:紧密的推荐人:http://(主机)/ labkey / login-login.view ? returnUrl = % 2 flabkey fadmin-createfolder % 2 f__r1 % 2。视图% 3 f饼干:X-LABKEY-CSRF = 00 ccaab3e5fccc4fd306acb09fedc936;JSESSIONID = 30 e2500105179b0415819804d11a36e7

cve - 2019 - 3913:在网络驱动器映射功能逻辑缺陷

当试图映射网络驱动器,用户能够操作的参数“网络使用“命令由于不适当的卫生设施的提供值,并简单地滥用映射工具本身的逻辑。注意,管理员访问web界面需要这个漏洞。脆弱的代码存在于labkey /服务器/ api / src /org/labkey/api/util/NetworkDrive.java。

脆弱的函数可以找到如下:

公共字符串(char driveChar)山抛出InterruptedException, IOException{卸载(driveChar);StringBuilder某人= new StringBuilder ();sb.append(“净使用”);sb.append (driveChar);sb.append (“:”);sb.append (getPath ());sb.append (" ");如果(getPassword () = null & & !”“.equals (getPassword () .trim ())) {sb.append (getPassword ());}如果(getUser () ! = null & & !”“.equals (getUser () .trim ())) {sb.append(“/用户:”);sb.append (getUser ()); } String connCommand = sb.toString(); Process p = Runtime.getRuntime().exec(connCommand);

作为一个例子证明概念,注意mount命令总是试图运行“卸载()”的“挂载()”操作。这意味着用户能够提供任何有效的驱动器和应用程序(以更高权限运行在主机)将结束连接不管其他映射的命令是正确的。