資安業者Contrast揭露Java框架Quarkus的RCE漏洞CVE-2022-4116,Quarkus由RedHat所發佈,是針對GraalVM和OpenJDK HotSpot量身定制的Java框架。
此漏洞存在於Dev UI組態編輯器(Config Editor),攻擊者可透過本機偷渡(drive-by localhost)的攻擊手法,進而遠端執行任意程式碼(RCE)。
駭客可引導開發人員瀏覽含有惡意JavaScript的網站,進而於受害電腦暗中執行特定程式碼。
該漏洞一旦遭到利用,攻擊者很有可能在受害電腦植入鍵盤側錄程式,進而得知其他開發系統的帳號密碼。
Quarkus 2.14.1.Final (含)之前的版本
Quarkus 2.13.4.Final (含)之前的版本
建議升級至以下版本:
Quarkus 2.14.2.Final (https://github.com/quarkusio/quarkus/releases/tag/2.14.2.Final)
Quarkus 2.13.5.Final (https://github.com/quarkusio/quarkus/releases/tag/2.13.5.Final)
https://www.contrastsecurity.com/security-influencers/localhost-attack-against-quarkus-developers-contrast-security
https://groups.google.com/g/quarkus-dev/c/E7r-IjmAg_U
https://nvd.nist.gov/vuln/detail/CVE-2022-4116
https://www.infosecurity-magazine.com/news/zeroday-flaw-in-quarkus-java/
https://www.sbrcentre.co.uk/critical-remote-code-execution-vulnerability-found-in-quarkus-java-framework
https://access.redhat.com/security/cve/CVE-2022-4116
https://github.com/quarkusio/quarkus/releases/tag/2.14.2.Final
https://github.com/quarkusio/quarkus/releases/tag/2.13.5.Final