漏洞名称:Apache Cocoon XML外部实体注入漏洞CVE-2020-11991
威胁等级:高危
影响范围:Apache Cocoon <= 2.1.12
漏洞类型:XML外部实体注入
利用难度:简单
漏洞分析
1 Apache Cocoon组件介绍
Apache Cocoon是一个基于Spring框架的围绕分离理念建立的构架,在这种框架下的所有处理都被预先定义好的处理组件线性连接起来,能够将输入和产生的输出按照流水线顺序处理。用户群:Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry等等,Apache Cocoon通常被作为一个数据抽取、转换、加载工具或者是系统之间传输数据的中转站。
2 漏洞描述
9月11日Apache软件基金会发布安全公告,修复了Apache Cocoon XML外部实体注入漏洞(CVE-2020-11991)。
CVE-2020-11991与StreamGenerator有关,在使用StreamGenerator时,代码将解析用户提供的XML。攻击者可以使用包括外部系统实体在内的特制XML来访问服务器系统上的任何文件。
影响范围
受影响版本:
Apache Cocoon <= 2.1.12
修复建议
目前厂商已在新版本修复该漏洞,用户应升级到:
Apache Cocoon 2.1.13最新版本
下载链接:https://cocoon.apache.org/
深信服解决方案
【深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。
时间轴
2020/09/11 Apache Cocoon官方发布修复补丁。
2020/09/12 深信服千里目安全实验室发布漏洞通告。
参考链接
http://mail-archives.apache.org/mod_mbox/cocoon-users/202009.mbox/author
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论