java注入漏洞,Apache Sling JCR Base 存在注入漏洞

科技资讯 投稿 18600 0 评论

漏洞描述

java注入漏洞,Apache Sling JCR Base 提供 JCR 实用程序类和对存储库挂载的支持,是ApacheSling项目的一部分。

在JDK 1.8.191或更低版本中运行Apache Sling JCR Base且项目版本小于3.1.12时可能存在注入漏洞,由于RepositoryAccessor.java中的getRepository方法和getRepositoryFromURL方法对传入的参数验证不当导致JNDI或RMI注入漏洞。远程攻击者可以通过JDNI和RMI连接访问存储在服务器上的任意数据。

漏洞名称Apache Sling JCR Base 存在注入漏洞
漏洞类型注入
发现时间2023-02-14
漏洞影响广度
MPS编号MPS-2023-3755
CVE编号CVE-2023-25141
CNVD编号-

影响范围

org.apache.sling:org.apache.sling.jcr.base@(-∞, 3.1.12

修复方案

将组件 org.apache.sling:org.apache.sling.jcr.base 升级至 3.1.12 及以上版本

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

java注入漏洞,Apache Sling JCR Base 存在注入漏洞

编程笔记 » java注入漏洞,Apache Sling JCR Base 存在注入漏洞

赞同 (30) or 分享 (0)
游客 发表我的评论   换个身份
取消评论

表情
(0)个小伙伴在吐槽