2020年9月,安恒应急响应中心监测发现在2020年9月11日Apache Cocoon官方更新发布了Cocoon2.1.13版本,该版本修复Cocoon2.1.12及之前的版本中存在的XML外部实体注入漏洞,漏洞对应CVE编号:CVE-2020-11991。
相关参考链接:
http://mail-archives.apache.org/mod_mbox/www-announce/202009.mbox/%[email protected]%3e
根据描述,漏洞存在于Apache Cocoon中的StreamGenerator组件中,该组件将会解析用户提交的XML格式的数据,攻击者会通过发送精心构造的XML格式的恶意数据来触发漏洞,当传入的参数存在敏感操作时,达到获取目标系统敏感文件及服务器权限,建议及时下载最新版本进行更新。
+
影响范围
Apache Cocoon XML外部实体注入(CVE-2020-11991)问题影响以下版本:
Cocoon <= 2.1.12版本
建议更新到漏洞修复后的最新版本(版本号为2.1.13),官网更新版本地址:
https://cocoon.apache.org/
+
漏洞描述
根据分析,当Cocoon服务中使用StreamGenerator组件处理XML格式的数据时,攻击者可以发送精心构造的XML格式数据,配合恶意的参数载荷,对目标机器进行攻击。
经验证该XML外部实体注入漏洞可利用,攻击者可以利用该漏洞直接对Cocoon服务端进行攻击,影响较大。
+
缓解措施
高危:目前漏洞细节和利用代码等相关技术细节暂未公开,安恒应急响应中心已验证该漏洞的可利用性,建议及时测试并更新到漏洞修复的版本(2.1.13及以上),或部署必要的安全防护设备拦截恶意攻击代码。
安恒应急响应中心
2020年9月
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容
喜欢记得打赏小E哦!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论