Apache Tika 命令注入漏洞 (CVE-2018-1335)

一、漏洞概述

1、简介

Apache Tika[1]是一个内容检测和分析框架，使用 Java 编写，它可从超过一千种不同的文件类型（如 PPT，XLS 和PDF 等）中检测和提取元数据和文本。所有这些文件类型都可以通过单一界面进行解析，因此 Tika 对搜索引擎索引，内容分析，翻译等非常有用。

2018 年 4 月 25 日，Apache Tika 团队成员 Tim Allison 发现 Apache Tika 1.18之前版本存在命令注入漏洞，并在邮件中披露了该漏洞[2]，该漏洞被赋予CVE-2018-

1335 编号。漏洞成因是由于客户端可以将精心设计的请求头发送到有权访问的 tika- server，导致可以将命令注入到运行 tika-server 服务器的命令行中。

2019 年 3 月 12 日，David Yesland 找到了该漏洞的利用方法，并在rhinosecuritylabs 发布了漏洞利用过程[3]。

2019 年 3 月 13 日，Seebug 平台收录了该漏洞[4]，知道创宇 404 漏洞应急团队开始对该漏洞进行漏洞应急。

2、影响版本

• Apacche Tika < 1.18

二、漏洞复现

1、复现环境

• Windows10
• Apacche Tika17

三、防护方案

1、升级Apache Tika 到 1.18 以上版本[5]，并且确保不受信任的用户无权访问

2、技术业务咨询

    知道创宇技术业务咨询热线 :

    400-060-9587(政府，国有企业)、028-68360638(互联网企业)