关于Apache Tapestry存在远程代码执行漏洞CVE-2022-46366漏洞预警分析(无CNNVD编号)

近日，博智安全观测到开源组件Apache Tapestry 项目发布存在远程代码漏洞预警，Apache Tapestry 3.x 允许反序列化不受信任的数据，从而导致远程代码执行。

程序介绍：

Apache Tapestry是一个开源的，基于组件的Web框架，用Java编写。挂毯由“Howard Lewis Ship”开发，后来开源并被纳入ApacheFoundation。它在2006年成为顶级Apache项目。Tapestry可以在任何应用程序服务器下工作，并且可以轻松地与Spring，Hibernate等所有后端集成。 

一、漏洞介绍

Apache Tapestry 3.x 版本允许对不受信任的数据进行反序列化，从而实现远程代码 执行。此问题类似于但不同于 CVE-2020-17531，后者适用于（同样不受支持的）4.x 版本行。

二、危害影响

此漏洞仅影响 Apache Tapestry 版本 3.x，维护者不再支持该版本。

三、修复建议

建议用户升级到支持的 Apache Tapestry 版本线。

来源:

https://lists.apache.org/thread/bwn1vjrvz1hq0wbdzj23wz322244swhj