Apache Jackrabbit 中存在严重的RCE漏洞
编译:代码卫士
Apache Jackrabbit 是 Java Technology API (JCR) 的内容仓库实现,是管理仓库内容的综合性平台。它具有强大的能力如结构化和非结构化内容支持、全文本搜索等,广泛用于 web 内容管理系统、文档管理系统和企业内容管理机系统中。
CVE-2023-37895 可通过利用 Jackrabbit 的RMI 接口实现远程代码执行后果。该漏洞存在重大风险,可导致攻击者远程执行任意代码,从而攻陷系统。该漏洞被评级为“严重”,影响 Apache Jackrabbit Webapp 和独立版本1.0.0至2.21.18。
该漏洞源自位于所有Jackrabbit webapp 和独立版本2.20.10和2.21.17中的Java对象反序列化漏洞。利用涉及 “commons-beanutils”组件,其中包含易受通过 RMI 而导致的远程代码执行影响的类。
建议 Jackrabbit 用户立即更新至版本 2.20.11或2.21.18。值得注意的是,老旧的稳定分支 (1.0.x到2.18.x)已被标记为已达生命周期,将不再接收更多更新。然而,即使 Jackrabbit 中不存在可利用的代码,但 RMI 支持的存在就可暴露潜在漏洞。该服务器上的更多组件可能也存在同样问题,因此需要完全禁用RMI访问权限。另外,目前也在讨论在未来的 Jackrabbit 发布中考虑删除 RMI 支持。
Apache Superset 会话验证漏洞可导致攻击者访问未授权资源
https://securityonline.info/cve-2023-37895-a-critical-remote-code-execution-in-apache-jackrabbit/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。