Apache Tapestry反序列化漏洞（CVE-2022-46366）

2022年12月8日19:02:02评论127 views字数 532阅读1分46秒阅读模式

Apache Tapestry反序列化漏洞

CVE-2022-46366

Apache Tapestry是一个用Java编写的开源Web框架。它是一个基于组件的Web框架。

NO.1

漏洞描述

Apache Tapestry 3.x允许对不受信任的数据进行反序列化，从而导致远程代码执行。这个问题与CVE-2020-17531类似，但又有所不同，CVE-2020-17531影响(也不支持)4.x版本。

此漏洞仅影响 Apache Tapestry 版本3.x，该版本不再受到维护支持。建议用户升级到受支持的 ApacheTapestry版本。

NO.2

漏洞影响范围

Apache Tapestry 3.x

NO.3

修复方案

请受影响的用户升级到受支持的Apache Tapestry版本。

NO.4

参考链接

https://loudongyun.360.net/leakDetail/KPp51xerqBM%3D

https://tapestry.apache.org/

https://lists.apache.org/thread/bwn1vjrvz1hq0wbdzj23wz322244swhj

原文始发于微信公众号（锋刃科技）：Apache Tapestry反序列化漏洞（CVE-2022-46366）

某单位网址未授权导致发生的视频信息泄露