基于 Thymeleaf 沙箱逃逸的 Spring Boot Admin 远程代码执行漏洞

漏洞描述

Thymeleaf 是用于构建动态的 Web 应用程序的 Java 模板引擎，Spring Boot Admin 是开源的管理和监控 Spring Boot 应用程序的Web UI。

由于 Thymeleaf 3.1.1.RELEASE及之前版本中存在沙箱逃逸漏洞，并且 Spring Boot Admin 默认使用 Thymeleaf 进行 HTML 渲染，如果 Spring Boot Admin 服务未对/actuator/env api节点进行身份验证，未经身份验证的攻击者可通过该api节点启用 MailNotifier 功能，并通过服务端模板注入在 Spring Boot Admin 服务器中执行任意代码。

该漏洞Poc已公开，并且官方尚未发布漏洞补丁，建议开发者禁用 Spring Boot Admin 的 MailNotifier 功能或对 /env actuator 端点进行身份校验缓解此漏洞。

漏洞名称	基于 Thymeleaf 沙箱逃逸的 Spring Boot Admin 远程代码执行漏洞
漏洞类型	代码注入
发现时间	2023-07-14
漏洞影响广度	广
MPS编号	MPS-p6bo-i7nw
CVE编号	CVE-2023-38286
CNVD编号	-

影响范围

de.codecentric:spring-boot-admin-server@[1.0.2, 3.1.1]

de.codecentric:spring-boot-admin@[1.0.2, 3.1.1]

修复方案

对 Spring Boot Admin 服务 /env actuator 端点进行身份校验。

禁用 Spring Boot Admin 的 MailNotifier 功能

参考链接

https://www.oscs1024.com/hd/MPS-p6bo-i7nw

https://nvd.nist.gov/vuln/detail/CVE-2023-38286

https://github.com/p1n93r/SpringBootAdmin-thymeleaf-SSTI

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc