Apache Jackrabbit 中存在严重的RCE漏洞

Apache Jackrabbit 中存在严重的RCE漏洞_第1张图片 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Java 平台的开源内容仓库 Apache Jackrabbit 中存在一个严重的远程代码执行漏洞 (CVE-2023-37895),可使攻击者利用 RMI 实现中一个 Java 对象反序列化问题在易受攻击系统上远程执行代码。

Apache Jackrabbit 是 Java Technology API (JCR) 的内容仓库实现,是管理仓库内容的综合性平台。它具有强大的能力如结构化和非结构化内容支持、全文本搜索等,广泛用于 web 内容管理系统、文档管理系统和企业内容管理机系统中。

CVE-2023-37895 可通过利用 Jackrabbit 的RMI 接口实现远程代码执行后果。该漏洞存在重大风险,可导致攻击者远程执行任意代码,从而攻陷系统。该漏洞被评级为“严重”,影响 Apache Jackrabbit Webapp 和独立版本1.0.0至2.21.18。

该漏洞源自位于所有Jackrabbit webapp 和独立版本2.20.10和2.21.17中的Java对象反序列化漏洞。利用涉及 “commons-beanutils”组件,其中包含易受通过 RMI 而导致的远程代码执行影响的类。

建议 Jackrabbit 用户立即更新至版本 2.20.11或2.21.18。值得注意的是,老旧的稳定分支 (1.0.x到2.18.x)已被标记为已达生命周期,将不再接收更多更新。然而,即使 Jackrabbit 中不存在可利用的代码,但 RMI 支持的存在就可暴露潜在漏洞。该服务器上的更多组件可能也存在同样问题,因此需要完全禁用RMI访问权限。另外,目前也在讨论在未来的 Jackrabbit 发布中考虑删除 RMI 支持。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

Apache Superset 会话验证漏洞可导致攻击者访问未授权资源

Apache Linkis 修复多个漏洞

【已复现】Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)安全风险通告

Apache Superset中存在严重漏洞

Apache ShardingSphere身份认证绕过漏洞(CVE-2022-45347)安全风险通告

原文链接

https://securityonline.info/cve-2023-37895-a-critical-remote-code-execution-in-apache-jackrabbit/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

377cabbfb0ccc8b1511e7c0a3715a886.jpeg

Apache Jackrabbit 中存在严重的RCE漏洞_第2张图片

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Apache Jackrabbit 中存在严重的RCE漏洞_第3张图片 觉得不错,就点个 “在看” 或 "赞” 吧~

你可能感兴趣的:(apache)