【严重】基于 Thymeleaf 沙箱逃逸的 Spring Boot Admin 远程代码执行漏洞（PoC）

 漏洞描述

Thymeleaf 是用于构建动态的 Web 应用程序的 Java 模板引擎，Spring Boot Admin 是开源的管理和监控 Spring Boot 应用程序的Web UI。

由于 Thymeleaf 3.1.1.RELEASE及之前版本中存在沙箱逃逸漏洞，并且 Spring Boot Admin 默认使用 Thymeleaf 进行 HTML 渲染，如果 Spring Boot Admin 服务未对/actuator/env api节点进行身份验证，未经身份验证的攻击者可通过该api节点启用 MailNotifier 功能，并通过服务端模板注入在 Spring Boot Admin 服务器中执行任意代码。

该漏洞Poc已公开，并且官方尚未发布漏洞补丁，建议开发者禁用 Spring Boot Admin 的 MailNotifier 功能或对 /env actuator 端点进行身份校验缓解此漏洞。

漏洞名称	基于 Thymeleaf 沙箱逃逸的 Spring Boot Admin 远程代码执行漏洞
漏洞类型	代码注入
发现时间	2023/7/14
漏洞影响广度	广
MPS编号	MPS-p6bo-i7nw
CVE编号	CVE-2023-38286
CNVD编号	-

影响范围

de.codecentric:spring-boot-admin-server@[1.0.2, 3.1.1]

de.codecentric:spring-boot-admin@[1.0.2, 3.1.1]

修复方案

对 Spring Boot Admin 服务 /env actuator 端点进行身份校验。

禁用 Spring Boot Admin 的 MailNotifier 功能

参考链接

https://www.oscs1024.com/hd/MPS-p6bo-i7nw

https://nvd.nist.gov/vuln/detail/CVE-2023-38286

https://github.com/p1n93r/SpringBootAdmin-thymeleaf-SSTI

关于墨菲安全 

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。

开源项目：https://github.com/murphysecurity/murphysec/?sf=qbyj

产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

免费代码安全检测工具： https://www.murphysec.com/?sf=qbyj
免费情报订阅：https://www.oscs1024.com/cm/?sf=qbyj

​