Apache Jackrabbit 中存在严重的RCE漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Java 平台的开源内容仓库 Apache Jackrabbit 中存在一个严重的远程代码执行漏洞 (CVE-2023-37895)，可使攻击者利用 RMI 实现中一个 Java 对象反序列化问题在易受攻击系统上远程执行代码。

Apache Jackrabbit 是 Java Technology API (JCR) 的内容仓库实现，是管理仓库内容的综合性平台。它具有强大的能力如结构化和非结构化内容支持、全文本搜索等，广泛用于 web 内容管理系统、文档管理系统和企业内容管理机系统中。

CVE-2023-37895 可通过利用 Jackrabbit 的RMI 接口实现远程代码执行后果。该漏洞存在重大风险，可导致攻击者远程执行任意代码，从而攻陷系统。该漏洞被评级为“严重”，影响 Apache Jackrabbit Webapp 和独立版本1.0.0至2.21.18。

该漏洞源自位于所有Jackrabbit webapp 和独立版本2.20.10和2.21.17中的Java对象反序列化漏洞。利用涉及 “commons-beanutils”组件，其中包含易受通过 RMI 而导致的远程代码执行影响的类。

建议 Jackrabbit 用户立即更新至版本 2.20.11或2.21.18。值得注意的是，老旧的稳定分支 (1.0.x到2.18.x)已被标记为已达生命周期，将不再接收更多更新。然而，即使 Jackrabbit 中不存在可利用的代码，但 RMI 支持的存在就可暴露潜在漏洞。该服务器上的更多组件可能也存在同样问题，因此需要完全禁用RMI访问权限。另外，目前也在讨论在未来的 Jackrabbit 发布中考虑删除 RMI 支持。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

Apache Superset 会话验证漏洞可导致攻击者访问未授权资源

Apache Linkis 修复多个漏洞

【已复现】Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)安全风险通告

Apache Superset中存在严重漏洞

Apache ShardingSphere身份认证绕过漏洞(CVE-2022-45347)安全风险通告

原文链接

https://securityonline.info/cve-2023-37895-a-critical-remote-code-execution-in-apache-jackrabbit/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~