CVE-2020-17519 & CVE-2020-17518 分析

CVE-2020-17519

看到漏洞公告，http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/browser

问题出在 REST API 上，且直接给出了 commit

在 github 上查看 https://github.com/apache/flink/commit/b561010b0ee741543c3953306037f00d7a9f0801

可以看到多了 new File().getName() 返回路径名的名称序列的最后一个名字，所以跳不到其他目录，修复了目录穿越问题。从字面意思上看，此时获取的参数是URI。

现在要找 source ，因为出问题的是 REST API 所以先看官方的文档：https://ci.apache.org/projects/flink/flink-docs-release-1.12/ops/rest_api.html，其中说了 org.apache.flink.runtime.webmonitor.WebMonitorEndpoint 是路由的类：