1、产品描述：Apache Tapestry是一种基于Java的Web应用程序框架。Tapestry采用了组件的概念。程序员可以应用现有的组件或自定义应用程序相关的组件来构建应用程序。

2、影响产品或组件及版本：3.0≤ Apache Tapestry < 4.0

3、受影响资产情况：   美国（255760154）、德国（77342935）、中国（52389612）

4、技术细节表述：在Apache Tapestry 3全版本中允许对不受信任的数据进行反序列化。导致攻击者可控制输入的序列化数据，构造恶意数据进行远程代码执行攻击，最终获取服务器权限。

5、修补措施：当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://tapestry.apache.org/download.HTML

6、检测规则：1、自行检查当前Apache Tapestry版本；2、代码层面对序列化数据做过滤或禁止用户输入序列化数据。

7、漏洞来源：https://www.openwall.com/lists/oss-security/2022/12/02/1