Специалисты из GitHub Security Labs озаприметили критичную уязвимость в официальном немецком приложении Corona-Warn-App (CWA) для отслеживания контактов с больными коронавирусной инфекцией (COVID-19). Ее эксплуатация могла позволить злоумышленнику удаленно выполнить произвольный код.
Уязвимый код находился в Submission Service — микросервисе, разработанном на основе платформы Spring Boot и отвечающем за проверку информации, отправляемой пользователями CWA. Для этого используется функция SubmissionController, которая проверяет всевозможные нюансы данной юзером инфы, например, заполненность всех обязательных полей. Данные проверяются валидатором ValidSubmissionPayload.
«Если какие-либо проверенные свойства объекта bean передаются в настраиваемый шаблон нарушения ограничений, контролируемое злоумышленником свойство будет оцениваться как выражение Expressional Language, позволяя производить оценку произвольного Java-кода», — пояснили исследователи.
Всевозможные POST-запросы, отправляемые в конечную точку Submission, разрешены по умолчанию и не требуют дополнительной авторизации или аутентификации. А сама конечная точка представления является общедоступной, собственно что разрешает воплотить в жизнь удаленное взаимодействие.
Команда экспертов сообщила компании-разработчику SAP о собственных находках и совместно работала с ней над устранением проблемы.