HyperSQL数据库存在严重漏洞，可导致RCE后果

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

安全研究员在HyperSQL Database (HSQLDB) 中发现了一个严重漏洞，可带来远程代码执行 (RCE) 风险。

HSQLDB 提供基于Java的SQL关系数据库系统。该技术是第二大最热门的嵌入式SQL数据库，迄今为止下载量已有1亿次，它用于开发、测试和部署数据库应用程序。

HSQLDB用于超过3120个Maven程序包，包括LibreOffice、JBoss、Log4j、Hibernate 和 Spring-Boot 以及多种企业软件包。

解析问题

Code Intelligence 公司的安全研究员通过云心过一系列模糊测试而发现了该RCE漏洞 (CVE-2022-41853) ，它的CVSS评分为9.8分。

HSQLDB 版本2.7.0及其以前的所有版本均易受攻击。研究人员联系了 HSQL 开发组即HSQLDB的开发人员，后者迅速提供了修复方案和缓解措施。HSQLDB尚未就此事置评，不过Code Intelligence公司的研究人员表示补丁已在管道中。

研究人员指出，“该漏洞已在上游修复，将在下次发布时现身。从2.7.1版本开始，如果将任何Java静态方法用作HSQLDB例程目标，则属性hsqldb.method_class_names 必须以类名称或通配符的清单定义。”此前的实现引发了一个问题，原因是在不定义系统属性的前提下，不应当允许使用除了java.lang.Math中方法以外的 Java静态方法，否则会出现其它问题。

根因

研究人员发布博客文章，更加深入地解释了该问题的根因。

文章指出，“在默认情况下，SQL声明可用于从类路径中的任意Java类中调用任何静态方法。HSQLDB允许直接使用这些方法。”

该漏洞意味着，在HSQLDB的预打补丁的版本中使用具有不可信输入的java.sql.Statement 或 java.sql.PreparedStatement时，可能导致应用程序易受RCE攻击。

Code Intelligence 公司的联合创始人 Khaled Yakdan 解释称，造成这种问题并不一定要求app易受SQL注入攻击。他指出，“当前默认的配置情况允许使用类路径上的任何类的静态方法。此外，遗留兼容性可允许直接使用这些方法。”

虽然Yakden 拒绝猜测哪些流行应用可能易受攻击，但他解释称启用HyperSQL会导致何种影响，“我们仅专注于寻找漏洞而不会调查易受攻击的代码库。该CVE造成的影响是，如果你使用HyperSQL来处理包括（不可信）用户输入的查询，则攻击者可能能够使你的app执行任意代码。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

已存在数十年的PostgreSQL漏洞影响多家云厂商，企业数据库遭暴露

Apache Cassandra 开源数据库软件修复高危RCE漏洞

数据库配置不当，8.8亿条医疗记录遭泄露

VirusTotal 共享8000万勒索软件样本分析数据库

CVE-2021-2429：MySQL InnoDB Memcached 插件中的堆缓冲区溢出漏洞详解

原文链接

https://portswigger.net/daily-swig/hypersql-database-flaw-leaves-library-vulnerable-to-rce

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~