MyBatis远程代码执行漏洞CVE-2020-26945的实例分析

# MyBatis远程代码执行漏洞CVE-2020-26945的实例分析

## 漏洞概述

**CVE-2020-26945**是MyBatis框架中存在的一个高危远程代码执行（RCE）漏洞，于2020年11月公开披露。该漏洞源于MyBatis在解析OGNL表达式时未对用户输入进行充分过滤，攻击者可通过精心构造的恶意参数实现任意代码执行。

### 影响版本
- MyBatis 3.5.0 - 3.5.6

### 漏洞本质
OGNL（Object-Graph Navigation Language）表达式注入漏洞，与经典的Struts2漏洞类似。

---

## 漏洞原理深度解析

### 1. MyBatis中的动态SQL机制
MyBatis通过`<if>`, `<foreach>`等标签实现动态SQL拼接，底层使用OGNL表达式解析参数值。例如：
```xml
<select id="findUser" parameterType="String" resultType="User">
  SELECT * FROM users WHERE name = #{name}
  <if test="order != null">
    ORDER BY ${order}
  </if>
</select>

2. 漏洞触发点

当使用${}语法（直接文本替换）而非#{}（预编译参数）时，用户输入会直接拼接到SQL语句中。在特定条件下，攻击者可注入OGNL表达式。

关键代码路径：

1. org.apache.ibatis.scripting.xmltags.TextSqlNode
2. org.apache.ibatis.scripting.xmltags.OgnlCache

3. OGNL表达式注入

攻击者可通过参数传递恶意OGNL表达式：

public class MaliciousParam {
  private String property;
  // 恶意getter方法
  public String getProperty() {
    return "@java.lang.Runtime@getRuntime().exec('calc.exe')";
  }
}

---

漏洞复现实例

环境搭建

1. 使用存在漏洞的MyBatis 3.5.5版本
2. 示例Mapper配置：

<select id="vulnerableQuery" parameterType="map">
  SELECT * FROM products 
  WHERE category = '${category}'
</select>

攻击步骤

1. 构造恶意HTTP请求：

POST /queryProducts HTTP/1.1
Content-Type: application/json

{
  "category": "'test' == @java.lang.Runtime@getRuntime().exec('open /System/Applications/Calculator.app')"
}

1. 恶意表达式执行流程：

• MyBatis解析${category}时触发OGNL计算
• OGNL引擎执行Runtime.getRuntime().exec()
• 最终导致计算器程序被启动（MacOS示例）

---

漏洞修复方案

官方补丁

MyBatis 3.5.7版本通过以下方式修复： 1. 在OgnlCache类中增加安全校验：

// 新增黑名单检测
if (value.contains("@java.lang.Runtime")) {
  throw new BuilderException("Malicious OGNL expression detected");
}

开发者最佳实践

1. 优先使用#{}预编译语法
2. 必须使用${}时，进行严格白名单过滤：

public String sanitizeInput(String input) {
  if (!input.matches("[a-zA-Z0-9_]+")) {
    throw new IllegalArgumentException("Invalid input");
  }
  return input;
}

1. 全局解决方案：

<configuration>
  <settings>
    <setting name="defaultScriptingLanguage" value="safeLanguage"/>
  </settings>
</configuration>

---

漏洞深度分析

1. 与CVE-2019-12458的关系

同属OGNL注入漏洞，但触发条件不同： - CVE-2019-12458：通过<bind>标签触发 - CVE-2020-26945：通过${}表达式触发

2. 漏洞利用限制

• 需要满足两个条件：
  • 使用${}动态SQL语法
  • 参数值通过getter方法获取

3. 攻击面扩展

通过反序列化链可扩大攻击范围：

// 结合Jackson反序列化
{
  "@class": "MaliciousClass",
  "payload": "恶意OGNL表达式"
}

---

防御体系建议

分层防御策略

防御层	具体措施
框架层	升级MyBatis至3.5.7+
代码层	静态代码扫描（Semgrep规则示例）
运维层	WAF规则拦截@java.lang.Runtime等模式

检测规则示例（Semgrep）

rules:
  - id: mybatis-ognl-injection
    pattern: |
      <...>$${...}</...>
    message: "Potential MyBatis OGNL injection"
    severity: ERROR

---

总结与启示

1. 安全编码意识：动态SQL是一把双刃剑
2. 供应链安全：及时更新框架版本
3. 纵深防御：结合SAST/DAST工具检测

该漏洞再次证明了”永远不要信任用户输入”这一安全基本原则的重要性。开发者应深入理解所用框架的安全机制，避免因便利性牺牲安全性。

参考资源

1. MyBatis官方安全公告
2. CVE-2020-26945详情
3. OWASP Injection防护指南

”`