免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。
一、漏洞概述
ServiceNow的
/login.do接口因Jelly模板输入验证不严格,导致未经身份验证的远程攻击者可构造恶意请求注入代码,实现远程代码执行(RCE)或敏感信息泄露。该漏洞CVSSv3评分为9.3(高危),影响全球超过12.8万资产。二、技术细节
漏洞成因
- Jelly模板引擎未对用户输入(如
jvar_page_title参数)进行严格过滤,攻击者可通过构造包含恶意Jelly表达式的请求注入代码。- 示例攻击链:
/login.do?jvar_page_title=${jelly 表达式},利用jelly.exec()执行系统命令26。利用条件
- 无需身份验证,可直接通过HTTP请求触发。
- 漏洞接口暴露在公网的ServiceNow实例风险最高。
三、影响范围
受影响版本(需检查补丁状态):
- Utah系列:Patch 10 Hot Fix 3、10a Hot Fix 2
- Vancouver系列:Patch 6 Hot Fix 2、Patch 7 Hot Fix 3b、Patch 8 Hot Fix 4、Patch 9/10
- Washington DC系列:Patch 1 Hot Fix 2b、Patch 2 Hot Fix 2、Patch 3 Hot Fix 1、Patch 4
全球风险资产:约15.9万(奇安信鹰图数据)
四、危害评估
- 直接风险:攻击者可获取数据库配置、执行任意命令、窃取敏感文件(如
/etc/passwd)。- 横向渗透
