一、漏洞概述

Genie 是 Netflix 开发的开源分布式作业编排引擎，提供 REST-ful API 来运行各种大数据作业，例如 Hadoop、Pig、Hive、Spark、Presto、Sqoop 等。它还提供 API 用于管理许多分布式处理集群的元数据以及在集群上运行的命令和应用程序。

VSRC监测到Netflix Genie文件上传中存在路径遍历漏洞（CVE-2024-4701），目前该漏洞的技术细节及PoC已公开。

Genie OSS 4.3.18之前版本在文件上传中存在路径遍历漏洞，由于Genie 的 API 接受multipart/form-data 文件上传并可将文件保存到磁盘上，但在将文件写入磁盘时它会使用用户提供的文件名，由于文件名是由用户控制的，威胁者可操纵文件名执行路径遍历攻击，利用该漏洞将文件（如恶意共享对象文件）写入文件系统上Java 进程具有写访问权限的任意位置，从而导致远程代码执行。

二、漏洞复现

三、影响范围

Genie OSS < 4.3.18

四、安全措施

4.1 升级版本

目前该漏洞已经修复，受影响用户可升级到Genie OSS 4.3.18或更高版本。

下载链接：

https://github.com/Netflix/genie/tags

4.2 临时措施

依赖文件系统存储提交给 Genie 应用程序的文件附件的 Genie OSS 用户易受该漏洞影响，任何不使用本地文件系统来存储用户提交/上传的文件附件的 Genie 实例（如使用 AWS S3 进行存储）都不易受到攻击。

4.3 建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

4.4 参考链接

https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2024-001.md

https://github.com/Netflix/genie/security/advisories/GHSA-wpcv-5jgp-69f3

https://www.contrastsecurity.com/security-influencers/contrast-security-discovers-netflix-oss-genie-application-path-traversal-vulnerability-that-can-lead-to-rce-during-file-upload