Apache Sling Resource Merger 存在拒绝服务漏洞(CVE-2023-26513)
漏洞描述ApacheSling是一个基于可扩展内容树(contenttree)的RESTfulWeb应用程序框架,ResourceMerger用于在运行时将多个Sling资源合并为一个虚拟资源树。MergingResourceProvider.java类中的getRelativePath方法用于将根路径之外的绝对路径转化为相对路径,ApacheSling受影响版本中由于该方法未对用户传入的绝对路径