漏洞信息详情

Apache Syncope 代码注入漏洞

• CNNVD编号：CNNVD-201404-361
• 危害等级： 中危
  
• CVE编号： CVE-2014-0111
• 漏洞类型： 代码注入
• 发布时间： 2014-04-22
• 威胁类型： 远程
• 更新时间： 2019-03-25
• 厂        商： apache
• 漏洞来源：

漏洞简介

Apache Syncope是美国阿帕奇（Apache）软件基金会的一套用于企业环境中的开源数字身份管理系统。该系统支持身份管理、角色配置等。

Apache Syncope 1.0.0至1.0.8版本和1.1.0至1.1.6版本的Apache Commons JEXL表达式（derived schema definition，user / role templates，account links of resource mappings）中存在安全漏洞。远程攻击者可利用该漏洞执行任意Java代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://syncope.apache.org/security.HTML

参考网址

来源:MLIST

链接:http://mail-archives.us.apache.org/mod_mbox/www-announce/201404.mbox/%[email protected]%3E

来源:CONFIRM

链接:http://syncope.apache.org/security.HTML

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/531841/100/0/threaded

受影响实体

• Apache Syncope:1.0.0  
• Apache Syncope:1.0.1  
• Apache Syncope:1.0.2  
• Apache Syncope:1.0.3  
• Apache Syncope:1.0.4  

补丁

• syncope-1.1.7-source-release
• syncope-root-1.0.9-source-release