Проблема была выявлена в инфраструктуре, обеспечивающей работу Corona-Warn-App на Android и iOS.
Специалисты из GitHub Security Labs обнаружили критическую уязвимость в официальном немецком приложении Corona-Warn-App (CWA) для отслеживания контактов с больными коронавирусной инфекцией (COVID-19). Ее эксплуатация могла позволить злоумышленнику удаленно выполнить произвольный код.
Уязвимый код находился в Submission Service — микросервисе, разработанном на основе платформы Spring Boot и отвечающем за проверку информации, отправляемой пользователями CWA. Для этого используется функция SubmissionController, которая проверяет различные аспекты предоставленной пользователем информации, например, заполненность всех обязательных полей. Данные проверяются валидатором ValidSubmissionPayload.
«Если какие-либо проверенные свойства объекта bean передаются в настраиваемый шаблон нарушения ограничений, контролируемое злоумышленником свойство будет оцениваться как выражение Expressional Language, позволяя производить оценку произвольного Java-кода», — пояснили исследователи.
Любые POST-запросы, отправляемые в конечную точку Submission, разрешены по умолчанию и не требуют дополнительной авторизации или аутентификации. А сама конечная точка представления является общедоступной, что позволяет осуществлять удаленное взаимодействие.
Команда экспертов сообщила компании-разработчику SAP о своих находках и совместно работала с ней над устранением проблемы.
