1. 极安网首页
  2. 网络安全技术

Apache Cocoon XML外部实体注入漏洞

Apache软件基金会发布安全公告,修复了ApacheCocoonxml外部实体注入漏洞CVE-2020-11991)。

Apache Cocoon XML外部实体注入漏洞-极安网

ApacheCocoon是一个基于Spring框架的围绕分离理念建立的构架,在这种框架下的所有处理都被预先定义好的处理组件线性连接起来,能够将输入和产生的输出按照流水线顺序处理。用户群:ApacheLenya、DaisyCMS、HippoCMS、Mindquarry等等,ApacheCocoon通常被作为一个数据抽取、转换、加载工具或者是系统之间传输数据的中转站。CVE-2020-11991与StreamGenerator有关,在使用StreamGenerator时,代码将解析用户提供的xml。攻击者可以使用包括外部系统实体在内的特制xml来访问服务器系统上的任何文件。

CVE编号

CVE-2020-11991

漏洞举例

攻击者输入

温馨提示:终身会员登陆后查看

会得到/etc/shadow文件内容

影响范围

ApacheCocoon<=2.1.12

全球范围内共有5,508个相关服务对外开放。美国使用数量最多,共有896个;乌干达第二,共有418个;德国第三,共有343个;爱尔兰第四,共有307个;法国第五,共有278个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

中国大陆地区陕西使用数量最多,共有3个;浙江第二,共有2个;北京第三,共有1个;广东第四,共有1个。

修复建议

建议立即升级到最新版本:ApacheCocoon2.1.13

下载链接:https://cocoon.apache.org/

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/412.html