漏洞描述:
ApacheJackrabbit是一个内容仓库,适用于构建各种内容管理应用程序。
在webapp、standalone版本中使用了 commons-beanutils 组件来进行对象反序列化。
由于commons-beanutils中存在一个通过 RMI 执行远程代码的类,攻击者通过构造的恶意序列化数据,发送到目标系统上的 RMI 服务端口(默认为1099端口)或发送到RMI-over-HTTP路径(默认路径为"/rmi")。
当目标系统反序列化数据时,将会执行恶意代码。
影响范围:
org.apache.jackrabbit:jackrabbit-webapp@[2.21.0, 2.21.18)
org.apache.jackrabbit:jackrabbit-standalone-components@[2.21.0, 2.21.18)
org.apache.jackrabbit:jackrabbit-standalone@[2.21.0, 2.21.18)
org.apache.jackrabbit:jackrabbit-standalone@[1.0.0, 2.20.11)
org.apache.jackrabbit:jackrabbit-webapp@[1.0.0, 2.20.11)
org.apache.jackrabbit:jackrabbit-standalone-components@[1.0.0, 2.20.11)
jackrabbit影响所有版本
jackrabbit影响所有版本
修复方案:
关闭RMI支持
将组件 org.apache.jackrabbit:jackrabbit-standalone-components 升级至 2.21.18 及以上版本
将组件 org.apache.jackrabbit:jackrabbit-standalone 升级至 2.20.11 及以上版本
将组件 org.apache.jackrabbit:jackrabbit-webapp 升级至 2.20.11 及以上版本
参考链接:
https://github.com/apache/jackrabbit/commit/8a5df9df003240f0ffb045f6c8f86a8d6493129a
https://lists.apache.org/thread/j03b3qdhborc2jrhdc4d765d3jkh8bfw
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Jackrabbit 反序列化漏洞 CVE-2023-37895
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论