OpenOLAT : L’injection de modèle côté serveur (SSTI) dans les modèles Velocity permet l’exécution de code à distance

OpenOlat est une plateforme d’e-learning open source basée sur le web pour l’enseignement, l’apprentissage, l’évaluation et la communication. Avant les versions 19.1.31, 20.1.18 et 20.2.5, un utilisateur authentifié avec le rôle d’auteur peut injecter des directives Velocity dans un modèle d’e-mail de rappel. Lorsque le rappel est traité (soit déclenché manuellement, soit via la tâche cron quotidienne), les directives injectées sont évaluées côté serveur. En chaînant la directive #set de Velocity avec la réflexion Java, un attaquant peut instancier des classes Java arbitraires telles que java.lang.ProcessBuilder et exécuter des commandes de système d’exploitation avec les privilèges du processus Tomcat (généralement root dans les déploiements conteneurisés). Ce problème a été corrigé dans les versions 19.1.31, 20.1.18 et 20.2.5.