OGNLi

Open-Graph Navigation Language injection

Description

Object-Graph Navigation Language (OGNL) est un langage d’expression open source pour Java. La fonction principale d’OGNL est d’obtenir et de définir des propriétés d’objet : « La plupart de ce que vous pouvez faire en Java est possible dans OGNL. »

Les expressions OGNL sont évaluées en utilisant des séquences %{code} et ${code}

Ressource: https://commons.apache.org/dormant/commons-ognl/language-guide.html

Reconnaissance

%{7*7} #doit renvoyer 49
${7*7} #doit renvoyer 49

Ressources

Bypassing OGNL sandboxes for fun and charitiesThe GitHub Blog

GitHub - hev0x/CVE-2022-26134: Confluence Pre-Auth Remote Code Execution via OGNL Injection (CVE-2022-26134)GitHub

GitHub - hev0x/CVE-2021-26084_Confluence: Confluence Server Webwork OGNL injectionGitHub

PrécédentELi SuivantOpen redirect

Dernière mise à jour il y a 4 mois