1.产品描述：

    Apache Tapestry是一种基于Java的Web应用程序框架。Tapestry采用了组件的概念。程序员可以应用现有的组建或自定义应用程序相关的组建来构建应用程序。相对与现有的其他Web应用程序框架而言，应用Tapestry会让程序员从烦琐的，不必要的底层代码中解放出来。

2.影响产品或组件及版本：

    Apache Tapestry 3.x

3.受影响资产情况：

通过资产测绘系统fofa发现，全球共5592个使用记录，其中第一名美国1800个，第二名中国826个，第三名波兰500个

4.技术细节表述：

    Apache Tapestry 3.x 允许对不受信任的数据进行反序列化，从而导致远程代码执行。

5.修补措施：

厂商已发布了漏洞修复程序，安全版本：Apache Tapestry 最新版5.x

    最新版官方下载链接：https://tapestry.apache.org/download.HTML

若访问官网较慢，可访问斗象情报中心搭建的镜像站进行下载：http://159.138.36.194:8080/Apache/Apache%20Tapestry/Apache%20Tapestry%20%e5%8f%8d%e5%ba%8f%e5%88%97%e5%8c%96%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e(CVE-2022-46366)/

6.漏洞来源：

https://vip.riskivy.com/detail/1598739372738482176

注：该漏洞已有CVE漏洞编号，暂无CNNVD漏洞编号