漏洞信息详情
Apache Roller 远程代码执行漏洞
- CNNVD编号:CNNVD-201311-461
- 危害等级: 高危
- CVE编号: CVE-2013-4212
- 漏洞类型: 代码注入
- 发布时间: 2013-10-31
- 威胁类型: 远程
- 更新时间: 2013-12-09
- 厂 商: apache
- 漏洞来源:
漏洞简介
Apache Roller是美国阿帕奇(Apache)软件基金会的一套功能丰富的多用户博客平台。
Apache Roller 5.0.2之前的版本中的ActionSupport控制器中的getText方法中存在远程代码执行漏洞。远程攻击者可借助特制的参数利用该漏洞执行任意OGNL (Object-Graph Navigation Language) 表达式。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://rollerweblogger.org/project/entry/apache_roller_5_0_2
参考网址
来源: XF
名称: apache-roller-cve20134212-command-exec(89239)
链接:http://xforce.iss.net/xforce/xfdb/89239
来源: OSVDB
名称: 100342
链接:http://www.osvdb.org/100342
来源: EXPLOIT-DB
名称: 29859
链接:http://www.exploit-db.com/exploits/29859
来源: security.coverity.com
链接:http://security.coverity.com/advisory/2013/Oct/remote-code-execution-in-apache-roller-via-ognl-injection.HTML
来源: SECUNIA
名称: 55877
链接:http://secunia.com/advisories/55877
来源: SECUNIA
名称: 55862
链接:http://secunia.com/advisories/55862
来源: rollerweblogger.org
链接:http://rollerweblogger.org/project/entry/apache_roller_5_0_2
来源: BID
名称: 63928
链接:http://www.securityfocus.com/bid/63928
受影响实体
- Apache Roller:4.0
- Apache Roller:4.0.1
- Apache Roller:5.0.1
- Apache Roller:5.0
补丁
- roller-weblogger-5.0.2-for-tomcat
- roller-weblogger-5.0.2-for-javaee
评论