【安全通报】Apache Cocoon XML外部实体注入漏洞(CVE-2020-11991)

花屋敷  1554天前

image-20200912192204095.png

9月11日 Apache 软件基金会发布安全公告,修复了 Apache Cocoon xml外部实体注入漏洞(CVE-2020-11991)。

Apache Cocoon 是一个基于 Spring 框架的围绕分离理念建立的构架,在这种框架下的所有处理都被预先定义好的处理组件线性连接起来,能够将输入和产生的输出按照流水线顺序处理。用户群:Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry等等,Apache Cocoon 通常被作为一个数据抽取、转换、加载工具或者是系统之间传输数据的中转站。CVE-2020-11991 与 StreamGenerator 有关,在使用 StreamGenerator 时,代码将解析用户提供的 xml。攻击者可以使用包括外部系统实体在内的特制 xml 来访问服务器系统上的任何文件。

CVE 编号

CVE-2020-11991

影响范围

  • Apache Cocoon <= 2.1.12

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="Apache-Cocoon")共有 5,508 个相关服务对外开放。美国使用数量最多,共有 896 个;乌干达第二,共有 418 个;德国第三,共有 343 个;爱尔兰第四,共有 307 个;法国第五,共有 278 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20200912192451638.png

中国大陆地区陕西使用数量最多,共有 3 个;浙江第二,共有 2 个;北京第三,共有 1 个;广东第四,共有 1 个。

image-20200912191704377.png

修复建议

  1. 建议立即升级到最新版本:Apache Cocoon 2.1.13

    下载链接:https://cocoon.apache.org/

参考

[1].http://mail-archives.apache.org/mod_mbox/cocoon-users/202009.mbox/author

[2].https://mp.weixin.qq.com/s/vXNaULOnCUqZU2pAX9DW2A

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

sxf  :  这是抄上瘾了?
1554天前 回复
little  :  抄了哪里的??
1552天前 回复
qax  :  抄上瘾了1
1553天前 回复
little  :  这是抄哪里的??
1552天前 回复
智不障  :  你这是抄上面sxf的评论??
1551天前 回复
off white包  :  [url=**s://**.off-white.com.tw/]off white[/url]
1533天前 回复
昵称
邮箱
提交评论