Vanna CVE-2025-47277 看CodeQL Python 方法映射

2025-06-16

1. 漏洞原理

漏洞并不复杂，整个链也不长

source：
https://github.com/vanna-ai/vanna/blob/a72b842d420cf1fa061e5f97d45ea08051651ebb/src/vanna/flask/__init__.py#L441

upload successful

sink：
https://github.com/vanna-ai/vanna/blob/4da8dea0ce14a0d1db5a0692a7921d873be91c5f/src/vanna/base/base.py#L2088

more >>

CodeQL Python 类型追踪

2025-06-10

在分析CodeQL Python 污点分析时候发现，有用到shared 的新模块typetracking。从前面Python 的Extractor 分析中，我们知道它的DB 内是没有类型信息的，没有类型信息是怎么做污点呢？

Java 是在编译的时候创建的DB，这一过程中可以拿到了AST 节点对应的类型信息，例如call 节点函数信息，可以直接关联callable，知道调的是哪个函数。但是纯AST 要怎么做？

联想之前做Java 反射Patch 的时候，印象中也需要用到类型跟踪,但是是自己实现的，改动颇大，不知道这个typetracking 是否能够更优雅的解决，分析下。

upload successful

more >>

CodeQL Python Extractor 源码分析

2025-05-26

最近定位python codeql 的一个cve 复现，发现涉及到extractor 的逻辑，正好之前也有跟踪过java 的经验，应该大差不差，记录下。

1. 架构

upload successful

https://github.com/github/codeql/blob/main/python/extractor/README.md#2-The-actual-Python-extractor

more >>

Apache Kylin CVE-2022-24697/CVE-2022-43396 漏洞分析与CodeQL 验证

2024-06-17

在官方漏洞报告中，说CVE-2022-43396是CVE-2022-24697的绕过。实际情况却是：两个漏洞均是发送在 Kylin 的 cube build 功能中，但CVE-2022-24697是参数可控；CVE-2022-43396是命令可控。

下文以CVE-2022-24697 为例，主要目的是跟踪下数据流，看看能否用CodeQL 复现。

1. 漏洞概况

影响版本：
Kylin 2.x & Kylin 3.x & 4.x should upgrade to 4.0.2

2. 漏洞分析

2.1 漏洞环境搭建

同前文，不赘述

more >>

Apache Kylin CVE-2021-45456/CVE-2022-44621 漏洞分析与CodeQL 验证

2024-06-11

CVE-2021-45456 漏洞是rest api 接口参数project 存在命令注入，CVE-2022-44621 漏洞是jobid 参数存在命令注入，原理相似，这里以分析CVE-2021-45456 为例，跟踪下这两个漏洞。

1. 漏洞概况

影响版本：4.0.0

Mitigation:
Users of Kylin 4.0.0 should upgrade to 4.0.1 or apply patch https://github.com/apache/kylin/pull/1781.

Credit:
These issues were discovered and reported by GHSL team member @pwntester (Alvaro Muñoz).

描述：project 参数存在命令拼接

2. 漏洞分析

2.1 漏洞环境搭建

docker pull apachekylin/apache-kylin-standalone:4.0.0

docker run -d \
-m 8G \
-p 7070:7070 \
-p 8088:8088 \
-p 50070:50070 \
-p 8032:8032 \
-p 8042:8042 \
-p 2181:2181 \
-p 5005:5005 \
apachekylin/apache-kylin-standalone:4.0.0

2.2 漏洞原理分析

很简单的命令拼接漏洞，如下

DiagnosisController#dumpProjectDiagnosisInfo

/**
 * Get diagnosis information for project
 */
@RequestMapping(value = "/project/{project}/download", method = { RequestMethod.GET }, produces = {
        "application/json" })
@ResponseBody
public void dumpProjectDiagnosisInfo(@PathVariable String project, final HttpServletRequest request,
        final HttpServletResponse response) {
    try (AutoDeleteDirectory diagDir = new AutoDeleteDirectory("diag_project", "")) {
        String filePath = dgService.dumpProjectDiagnosisInfo(project, diagDir.getFile());
        setDownloadResponse(filePath, response);
    } catch (IOException e) {
        throw new InternalErrorException("Failed to dump project diagnosis info. " + e.getMessage(), e);
    }

}

project 参数存在命令拼接

more >>

缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是yilia根目录）执行以下命令：
npm i hexo-generator-json-content --save

3、在根目录_config.yml里添加配置：

  jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true