Apache Cocoon高危漏洞风险提示

  • A+
所属分类:安全漏洞
Apache Cocoon高危漏洞风险提示


漏洞公告

2020年9月,安恒应急响应中心监测发现在2020年9月11日Apache Cocoon官方更新发布了Cocoon2.1.13版本,该版本修复Cocoon2.1.12及之前的版本中存在的XML外部实体注入漏洞,漏洞对应CVE编号:CVE-2020-11991。


相关参考链接:

http://mail-archives.apache.org/mod_mbox/www-announce/202009.mbox/%[email protected]%3e


根据描述,漏洞存在于Apache Cocoon中的StreamGenerator组件中,该组件将会解析用户提交的XML格式的数据,攻击者会通过发送精心构造的XML格式的恶意数据来触发漏洞,当传入的参数存在敏感操作时,达到获取目标系统敏感文件及服务器权限,建议及时下载最新版本进行更新。


影响范围

Apache Cocoon XML外部实体注入(CVE-2020-11991)问题影响以下版本:

Cocoon <= 2.1.12版本


建议更新到漏洞修复后的最新版本(版本号为2.1.13),官网更新版本地址:

https://cocoon.apache.org/


漏洞描述

根据分析,当Cocoon服务中使用StreamGenerator组件处理XML格式的数据时,攻击者可以发送精心构造的XML格式数据,配合恶意的参数载荷,对目标机器进行攻击。


经验证该XML外部实体注入漏洞可利用,攻击者可以利用该漏洞直接对Cocoon服务端进行攻击,影响较大。


Apache Cocoon高危漏洞风险提示


缓解措施

高危:目前漏洞细节和利用代码等相关技术细节暂未公开,安恒应急响应中心已验证该漏洞的可利用性,建议及时测试并更新到漏洞修复的版本(2.1.13及以上),或部署必要的安全防护设备拦截恶意攻击代码。


安恒应急响应中心

2020年9月


Apache Cocoon高危漏洞风险提示

注:本文由E安全编译报道,转载请注原文地址 

https://www.easyaq.com

推荐阅读:


▼点击“阅读原文” 查看更多精彩内容


Apache Cocoon高危漏洞风险提示

喜欢记得打赏小E哦!


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: