关于Apache Tapestry存在远程代码执行漏洞CVE-2022-46366漏洞预警分析(无CNNVD编号)
近日,博智安全观测到开源组件Apache Tapestry 项目发布存在远程代码漏洞预警,Apache Tapestry 3.x 允许反序列化不受信任的数据,从而导致远程代码执行。
程序介绍:
Apache Tapestry是一个开源的,基于组件的Web框架,用Java编写。挂毯由“Howard Lewis Ship”开发,后来开源并被纳入ApacheFoundation。它在2006年成为顶级Apache项目。Tapestry可以在任何应用程序服务器下工作,并且可以轻松地与Spring,Hibernate等所有后端集成。
一、漏洞介绍
Apache Tapestry 3.x 版本允许对不受信任的数据进行反序列化,从而实现远程代码 执行。此问题类似于但不同于 CVE-2020-17531,后者适用于(同样不受支持的)4.x 版本行。
二、危害影响
此漏洞仅影响 Apache Tapestry 版本 3.x,维护者不再支持该版本。
三、修复建议
建议用户升级到支持的 Apache Tapestry 版本线。
来源:
https://lists.apache.org/thread/bwn1vjrvz1hq0wbdzj23wz322244swhj
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论