Shields项目动态JSON/TOML/YAML徽章远程代码执行漏洞分析

问题背景

Shields.io是一个流行的开源徽章服务项目，用于为GitHub等平台生成各种状态徽章。近期该项目披露了一个存在于动态JSON/TOML/YAML徽章功能中的严重安全问题，该问题可能导致远程执行风险。

问题详情

该问题源于项目使用的jsonpath库存在原型污染(Prototype Pollution)问题。攻击者可以构造特定的JSONPath表达式，利用该问题实现远程执行。这种问题的危害性极高，攻击者一旦成功利用，可以完全控制服务器。

影响范围

主要影响自托管Shields实例的用户。虽然官方没有发现shields.io主站被实际利用的证据，但出于安全考虑，所有自托管用户都应立即升级到server-2024-09-25或更高版本。

技术分析

问题的根本原因在于：

1. 项目使用了存在安全问题的jsonpath库
2. 该库存在原型污染问题且已停止维护
3. 攻击者可通过精心构造的JSONPath表达式触发问题

解决方案

项目团队采取了以下措施修复问题：

1. 将jsonpath库替换为JSONPath-Plus
2. 禁用脚本表达式功能(eval: false)
3. 发布安全更新版本

兼容性影响

由于更换了JSONPath实现库，部分查询语法可能不再支持：

1. 依赖JavaScript表达式计算的查询将失效
2. 不同库的实现差异可能导致部分查询结果变化
3. RFC9535标准的JSONPath实现尚未成熟

用户建议

1. 自托管用户应立即升级到最新版本
2. 曾授权GitHub OAuth应用的用户可考虑撤销授权
3. 检查并更新可能受影响的JSONPath查询表达式

总结

该问题再次提醒我们依赖库安全性的重要性。项目团队快速响应并修复问题的做法值得肯定，同时也展示了开源社区协作解决安全问题的有效性。用户应及时关注此类安全通告并采取相应措施保护自己的系统。