聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Apache Jackrabbit 是 Java Technology API (JCR) 的内容仓库实现,是管理仓库内容的综合性平台。它具有强大的能力如结构化和非结构化内容支持、全文本搜索等,广泛用于 web 内容管理系统、文档管理系统和企业内容管理机系统中。
CVE-2023-37895 可通过利用 Jackrabbit 的RMI 接口实现远程代码执行后果。该漏洞存在重大风险,可导致攻击者远程执行任意代码,从而攻陷系统。该漏洞被评级为“严重”,影响 Apache Jackrabbit Webapp 和独立版本1.0.0至2.21.18。
该漏洞源自位于所有Jackrabbit webapp 和独立版本2.20.10和2.21.17中的Java对象反序列化漏洞。利用涉及 “commons-beanutils”组件,其中包含易受通过 RMI 而导致的远程代码执行影响的类。
建议 Jackrabbit 用户立即更新至版本 2.20.11或2.21.18。值得注意的是,老旧的稳定分支 (1.0.x到2.18.x)已被标记为已达生命周期,将不再接收更多更新。然而,即使 Jackrabbit 中不存在可利用的代码,但 RMI 支持的存在就可暴露潜在漏洞。该服务器上的更多组件可能也存在同样问题,因此需要完全禁用RMI访问权限。另外,目前也在讨论在未来的 Jackrabbit 发布中考虑删除 RMI 支持。
原文始发于微信公众号(代码卫士):Apache Jackrabbit 中存在严重的RCE漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论