Проблема була виявлена в інфраструктурі, яка забезпечує роботу Corona-Warn-App на Android і iOS. Фахівці з GitHub Security Labs виявили критичну вразливість в офіційному німецькому додатку Corona-Warn-App (CWA) для відстеження контактів з хворими коронавирусной інфекцією (COVID-19). Її експлуатація могла дозволити зловмиснику віддалено виконати довільний код.
Вразливий код знаходився в Submission Service – мікросервісе, розробленому на основі платформи Spring Boot і відповідає за перевірку інформації, що відправляється користувачами CWA. Для цього використовується функція SubmissionController, яка перевіряє різні аспекти наданої користувачем інформації, наприклад, заповненість усіх обов’язкових полів. Дані перевіряються валідатором ValidSubmissionPayload.
«Якщо будь-які перевірені властивості об’єкта bean передаються в настроюється шаблон порушення обмежень, контрольоване зловмисником властивість буде оцінюватися як вираз Expressional Language, дозволяючи здійснювати оцінку довільного Java-коду», – пояснили дослідники.
Будь-які POST-запити, надіслані в кінцеву точку Submission, дозволені за умовчанням і не вимагають додаткової авторизації або аутентифікації. А сама кінцева точка уявлення є загальнодоступною, що дозволяє здійснювати віддалене взаємодія. Команда експертів повідомила компанії-розробнику SAP про свої знахідки і спільно працювала з нею над усуненням проблеми. Джерело