Quarkus Java框架曝高危漏洞，可攻击开发环境远程代码执行

最近的网络安全观察中，Quarkus Java 框架曝出了一个高危的安全漏洞，该漏洞可被利用在受影响的系统上实现远程代码执行。

该漏洞的漏洞号为 CVE-2022-4116（CVSS 评分：9.8），存在于 Dev UI 配置编辑器中，它容易受到可能导致远程代码执行 (RCE) 的驱动式本地主机攻击，该漏洞利用门槛低，无需任何特权即可被恶意攻击者滥用。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，Quarkus是红帽开发的开源项目，用于在容器化和无服务器环境中创建 Java 应用程序。

值得指出的是，该问题只影响运行 Quarkus 的开发人员，他们被诱骗访问特制网站，该网站嵌入了恶意 JavaScript 代码，旨在安装或执行任意负载。

这可以采取鱼叉式网络钓鱼或水坑攻击的形式，而无需受害者进行任何进一步的交互。或者，可以通过在开发人员经常浏览的热门网站上投放流氓广告来阻止攻击。

通过Dev Mode提供的Dev UI绑定到本地主机，并允许开发人员监视应用程序的状态、更改配置、迁移数据库和清除缓存。

由于它仅限于开发人员的本地计算机，因此 Dev UI 还缺乏重要的安全控制，如身份验证和跨源资源共享 ( CORS )，以防止欺诈网站读取其他网站的数据。

安全研究人员表示，托管在恶意软件网站上的 JavaScript 代码可以被武器化，通过HTTP POST 请求修改 Quarkus 应用程序配置以触发代码执行。虽然它只影响开发模式，但影响仍然很大，因为它可能导致攻击者获得对你的开发者的本地访问权限。