一、漏洞详情
Apache Unomi是一个可用于多系统的java开源客户数据平台,用于管理用户配置文件和与该配置文件相关的数据,Unomi在2019年被宣布成为Apache的顶级项目。由于Apache Unomi是作为运行在Apache Karaf中的OSGi应用程序构建的,因此它具有极好的可扩展性和易用性。
Apache Unomi在1.5.2之前版本中存在远程代码执行漏洞。该平台具有内置的规则系统和用户细分的概念,当用户需要为配置文件下发数据时,可以使用OGNL或MVEL类的表达式语言未受限制的执行查询操作,从而导致了Unomi容易受到表达式注入攻击,攻击者可以利用该漏洞发送符合语法的恶意表达式使Unomi服务器执行任意代码和系统命令。
二、影响范围
Apache Apache Unomi <1.5.2
三、修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://unomi.apache.org./security/cve-2020-13942.txt