【最新漏洞预警】CVE-2022

　　【最新漏洞预警】CVE-2022

　　漏洞信息

　　Dynamicweb是一款提供基于云的电子商务套件。通过这款软件，客户能够更好的进行内容管理、数字营销、电子商务，提供更好的产品信息管理解决方案，提升数字客户体验，并扩大自身的电子商务市场。

　　近期网上爆出Dynamicweb存在逻辑缺陷，导致可以无需登录以管理员身份实现RCE。漏洞编号为CVE-2022-25369，影响版本如下：

　　漏洞分析

　　从漏洞通告中，我们可以看到问题出在`/Admin/Access/Setup/Default.aspx`文件中，本文我们使用Dynamicweb v9.8.9的代码进行分析。找到`/Admin/Access/Setup/Default.aspx`文件，发现其后端代码由`Dynamicweb.Admin._Default3`处理：

　　进入`Dynamicweb.Admin._Default3`的代码，我们可以很明显看到程序的一个逻辑错误。程序本意应该是：判断网站是否已经安装过。是，则跳转到网站首页，不继续处理；否，则进入`Setup.HandleAction`进行后续的网站安装。而程序这里错误的使用了&&逻辑，那么只要`Action`参数不为空，就不会进入重定向的代码中，转而进入`Setup.HandleAction`处理：

　　我们跟进`Setup.HandleAction`的代码，看其都有哪些功能。网站一共支持`setlicense`、`setdatabasesettings`、`tryconnectdatabase`、`endsetup`、`createschema`、`copyfiles`、`createadministrator`，这里代码太长，仅截取 `createadministrator`相关代码。通`createadministrator`功能，可以直接创建一个超级管理员账户：

　　通过登录超级管理员账号，我们再利用后台漏洞，即可达到GetShell的目的。

　　漏洞复现

　　未授权添加管理员账号：

　　通过登录超级管理员账号，配合后台漏洞GetShell：

　　由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用本人负责，且听安全团队及文章作者不为此承担任何责任。

　　点关注，不迷路！