【安全通报】Apache Cocoon XML外部实体注入漏洞（CVE-2020-11991）

9月11日 Apache 软件基金会发布安全公告，修复了 Apache Cocoon xml外部实体注入漏洞（CVE-2020-11991）。

Apache Cocoon 是一个基于 Spring 框架的围绕分离理念建立的构架，在这种框架下的所有处理都被预先定义好的处理组件线性连接起来，能够将输入和产生的输出按照流水线顺序处理。用户群：Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry等等，Apache Cocoon 通常被作为一个数据抽取、转换、加载工具或者是系统之间传输数据的中转站。CVE-2020-11991 与 StreamGenerator 有关，在使用 StreamGenerator 时，代码将解析用户提供的 xml。攻击者可以使用包括外部系统实体在内的特制 xml 来访问服务器系统上的任何文件。

CVE 编号

CVE-2020-11991

影响范围

• Apache Cocoon <= 2.1.12

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Apache-Cocoon"）共有 5,508 个相关服务对外开放。美国使用数量最多，共有 896 个；乌干达第二，共有 418 个；德国第三，共有 343 个；爱尔兰第四，共有 307 个；法国第五，共有 278 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区陕西使用数量最多，共有 3 个；浙江第二，共有 2 个；北京第三，共有 1 个；广东第四，共有 1 个。

修复建议

1. 建议立即升级到最新版本：Apache Cocoon 2.1.13

   下载链接：https://cocoon.apache.org/

参考

[1].http://mail-archives.apache.org/mod_mbox/cocoon-users/202009.mbox/author

[2].https://mp.weixin.qq.com/s/vXNaULOnCUqZU2pAX9DW2A

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。