近日，金山云安全应急响应中心监测到Apache Unomi存在远程代码执行漏洞。该漏洞编号为CVE-2020-13942，CVS评分10.0，风险等级为严重。

该漏洞危害严重，利用成本较低，且相关利用POC已公开，请使用了Apache Unomi的用户尽快升级到安全版本，避免遭受恶意攻击。

漏洞描述

Apache Unomi允许远程攻击者发送使用MVEL和OGNL表达式的恶意请求，从而导致可使用Unomi服务的特权进行远程命令执行。MVEL和OGNL表达式是Unomi应用中两个不同内部包中的表达式，攻击者利用该漏洞可以成功绕过1.5.1版本中的安全控制，可以在两个不同的位置造成RCE攻击。 

Unomi服务通常与内网中的各种数据存储和数据分析系统集成。该漏洞通过公共端点触发，使攻击者能够在易受攻击的服务器上运行操作系统命令。易受攻击的公共端点使Unomi成为入侵内网的理想入口点，进一步利用可在内网横移，危害极大。

风险等级

严重

影响版本

Apache Unomi < 1.5.2

修复建议

1. 升级到Apache Unomi 1.5.2版本

2. 尽可能避免将数据放入表达式解释器中

参考链接

[1]https://securityboulevard.com/2020/11/apache-unomi-cve-2020-13942-rce-vulnerabilities-discovered/?utm_source=dlvr.it&utm_medium=twitter

[2]http://unomi.apache.org/download.html

北京金山云网络技术有限公司

2020/11/19