Onedev v7.4.14 路径遍历漏洞分析（CVE-2022-38301）

漏洞简述

OneDev 是开源的一体化轻量DevOps平台，在OneDev 7.4.14及以前版本中存在路径遍历漏洞，具有项目管理权限的攻击者可以将恶意 jar 文件上传到 lib 目录，覆盖原有jar包，攻击者可利用此漏洞在服务器中写入任意文件或远程执行恶意代码。

漏洞CVSS评分：8.8（高危）
受影响组件版本范围：Onedev <= v7.4.14

漏洞分析

问题代码分析

项目管理员可以在 OneDev 的build模块对自己的一个项目进行构建，同时在build模块中提供了手动上传Artifacts功能。

以v7.4.14为例，当用户点击上传后会调用ArtifactUploadPanel.java中的onSubmit函数将该用户选择的自定义文件上传到服务器，其中如果用户自定义了Directory , filePath将会采用字符串拼接的方式将用户自定义的目录名和文件名进行组合，导致攻击者可以上传文件至任意路径。

上传 Artifacts 流程验证

在上传Artifacts时任意选择一张图片进行上传，Directory可以自定义，这里先留空。

上传时如果自定义目录名为空，则默认上传到后台的项目对应的artifacts目录：

漏洞复现

创建一个新项目并进行构建（build）

系统build功能代码对应为io.onedev.server-plugin-executor-serverdocker-7.4.14.jar中的ServerDockerExecutor类。如果攻击者能将其替换为自己定义的恶意jar包，将会远程执行攻击者可控的代码。

因此攻击者可以制作一个恶意的jar包，将其命名为“io.onedev.server-plugin-executor-serverdocker-7.4.14.jar”，然后通过构建恶意路径（../../../../../../lib）上传到服务的lib目录（如/opt/onedev/lib），原有的同名jar包将被替换。