Apache Cocoon XML外部实体注入漏洞CVE-2020-11991

  • A+
所属分类:安全漏洞


漏洞名称:Apache Cocoon XML外部实体注入漏洞CVE-2020-11991

威胁等级:高危

影响范围:Apache Cocoon <= 2.1.12

漏洞类型:XML外部实体注入

利用难度:简单


漏洞分析


1 Apache Cocoon组件介绍

Apache Cocoon是一个基于Spring框架的围绕分离理念建立的构架,在这种框架下的所有处理都被预先定义好的处理组件线性连接起来,能够将输入和产生的输出按照流水线顺序处理。用户群:Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry等等,Apache Cocoon通常被作为一个数据抽取、转换、加载工具或者是系统之间传输数据的中转站。


2 漏洞描述

9月11日Apache软件基金会发布安全公告,修复了Apache Cocoon XML外部实体注入漏洞(CVE-2020-11991)。


CVE-2020-11991与StreamGenerator有关,在使用StreamGenerator时,代码将解析用户提供的XML。攻击者可以使用包括外部系统实体在内的特制XML来访问服务器系统上的任何文件。


影响范围


受影响版本:

Apache Cocoon <= 2.1.12


修复建议


目前厂商已在新版本修复该漏洞,用户应升级到:

Apache Cocoon 2.1.13最新版本


下载链接:https://cocoon.apache.org/



深信服解决方案


深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。


深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。


深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。


深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。


时间轴


2020/09/11  Apache Cocoon官方发布修复补丁。

2020/09/12  深信服千里目安全实验室发布漏洞通告。


参考链接


http://mail-archives.apache.org/mod_mbox/cocoon-users/202009.mbox/author



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案

Apache Cocoon XML外部实体注入漏洞CVE-2020-11991



发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: