关键漏洞信息 漏洞概述 漏洞类型: Spring模板函数允许在活动模板上读取主机上的环境变量。 严重性: 9.1/10 (Critical) 受影响版本: 4.0.0 - 5.0.1 修复版本: 5.0.2 描述 摘要: 在Spring中默认启用的 和 模板函数允许捕获主机上的环境变量。虽然这可能不是单用户(超级管理员)安装的问题,在多用户安装中,这允许非超级用户使用带有活动或模板权限的 模板表达式捕获敏感环境变量。 演示 描述: Listmonk的活动预览功能存在一个模板注入漏洞,允许具有最小权限(campaigns:get和campaigns:post_all)的认证用户提取敏感系统数据,包括数据库凭据、SMTP密码和管理凭据,由于允许了危险函数。 概念验证: - 创建一个用户并赋予他们campaigns:get和campaigns:post_all权限。 - 使用该用户登录,进入任何活动,转到内容部分,这里就是漏洞所在,我们可以执行模板内容,允许我们获取环境变量,执行Spring函数等。 - 在文本字段中输入以下内容并按预览: - 预览显示了AWS密钥、Listmonk数据库主机和密码等环境变量。 影响 通过这些环境变量,攻击者可以完全控制数据库、云账户、管理凭据等,具体取决于设置,导致系统接管和数据泄露。 建议修复 禁用 、 和 等模板函数,因为它们可以用于泄漏环境变量,从而导致完全接管。