内容简介：

前言
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。
如果文章中的漏洞出现敏感内容产生了部分影响，请及时联系作者，望谅解。
一、漏洞原理
漏洞简述
Bonitasoft 是一个业务自动化平台，可以更轻松地在业务流程中构建、部署和管理自动化应用程序；
Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。
Bonita Web 2021.2版本受到认证绕过影响，因为其API认证过滤器的过滤模式过于宽泛。
通过添加恶意构造的字符串到API URL，普通用户可以访问需特权的API端点。这可能导致特权API操作将恶意代码添...

查看原文

? CVE-2022-25237 Bonitasoft 认证绕过和RCE漏洞分析及复现