等保门户网: 测评整改

Apache Cocoon高危漏洞风险提示

来源:admin 发布日期:2020-09-24

漏洞公告
2020年9月,安恒应急响应中心监测发现在2020年9月11日Apache Cocoon官方更新发布了Cocoon2.1.13版本,该版本修复Cocoon2.1.12及之前的版本中存在的XML外部实体注入漏洞,漏洞对应CVE编号:CVE-2020-11991。
相关参考链接:
http://mail-archives.apache.org/mod_mbox/www-announce/202009.mbox/%3cbdc77163-a100-004c-7441-e0062a2161e7@apache.org%3e
根据描述,漏洞存在于Apache Cocoon中的StreamGenerator组件中,该组件将会解析用户提交的XML格式的数据,攻击者会通过发送精心构造的XML格式的恶意数据来触发漏洞,当传入的参数存在敏感操作时,达到获取目标系统敏感文件及服务器权限,建议及时下载最新版本进行更新。
影响范围
Apache Cocoon XML外部实体注入(CVE-2020-11991)问题影响以下版本:
Cocoon <= 2.1.12版本
建议更新到漏洞修复后的最新版本(版本号为2.1.13),官网更新版本地址:https://cocoon.apache.org/
漏洞描述
根据分析,当Cocoon服务中使用StreamGenerator组件处理XML格式的数据时,攻击者可以发送精心构造的XML格式数据,配合恶意的参数载荷,对目标机器进行攻击。
经验证该XML外部实体注入漏洞可利用,攻击者可以利用该漏洞直接对Cocoon服务端进行攻击,影响较大。
缓解措施
高危:目前漏洞细节和利用代码等相关技术细节暂未公开,安恒应急响应中心已验证该漏洞的可利用性,建议及时测试并更新到漏洞修复的版本(2.1.13及以上),或部署必要的安全防护设备拦截恶意攻击代码。
来源:安恒应急响应中心

【关闭】 【打印】

您是第 43864982 位访问者
沪ICP备 12039260号 京公网安备 11010802025578号