Progress软件公司已针对OpenEdge AdminServer组件中一个高危漏洞发布补丁,该漏洞编号为CVE-2025-7388(CVSS评分8.4)。此漏洞影响OpenEdge长期支持版(LTS)12.2.17、12.8.8及所有早期版本,攻击者可通过Java RMI接口实现远程命令执行(RCE)。
AdminServer组件支持通过Java RMI进行远程管理操作,但这也引入了潜在风险。Progress公司表示:“OpenEdge AdminServer组件中存在的CVE-2025-7388漏洞,允许攻击者通过Java RMI接口执行远程命令。”
由于AdminServer通常以高权限运行,恶意请求可利用暴露的RMI存根(stub),调用不受操作系统安全机制控制的下游逻辑。
Progress解释称:“RMI带来的下游风险使得攻击者能够操纵配置属性,通过传递给jvmStart参数的workDir实现操作系统命令注入。由于未对字符串进行适当 sanitization,攻击者可通过构造引号注入系统命令。”
该漏洞同时影响远程和本地AdminServer客户端。即使在访问受限的环境中,已认证但未授权的RMI请求仍可能触发RCE。
Progress指出:“尽管RMI注册表限制对已注册存根的访问,但无法控制这些存根调用的内部操作。此漏洞反映了不安全使用Java RMI所带来的一类广泛风险。”
受影响及已修复版本
- 漏洞版本:OpenEdge 12.2.17及更早版本、12.8.8及更早版本。
- 修复版本:OpenEdge LTS更新版12.2.18和12.8.9。
补丁通过两项关键变更修复了该问题:
- 输入 sanitization:WorkDir值现在强制用双引号包裹,处理前会剥离所有注入的引号。
- RMI加固:AdminServer配置中默认禁用远程RMI,减少攻击面暴露。
Progress强烈建议用户升级,并强调:“所有早期版本的OpenEdge(包括当前支持的LTS版本的旧版)均面临RCE风险。客户应立即应用补丁,确保参数值 sanitization 可中和攻击风险,且在不需要远程访问时禁用远程RMI。”
临时缓解措施(针对无法立即补丁的环境)
• Progress建议:
• 完全禁用远程RMI,尤其是生产环境。
• 通过防火墙规则、端口变更和可信IP白名单限制RMI访问。
• 使用专用服务账户以最低权限运行AdminServer。
• 启用带有严格策略的JVM安全管理器。
• 监控日志并审计RMI调用中的异常活动。
• 移除未使用的AdminServer插件,减少RMI攻击面。
发表评论
您还未登录,请先登录。
登录