Apache 软件基金会发布了有关漏洞 ( CVE-2024-36522 ) 的安全公告,该漏洞影响广泛使用的 Java Web 应用程序框架 Apache Wicket。该漏洞源于 XSLTResourceStream.java 组件中的输入验证不当,攻击者可利用该漏洞在受影响的系统上远程执行任意代码。
Apache Wicket 以其清晰的标记和逻辑分离而闻名,它利用了普通旧式 Java 对象 (POJO) 并避免了繁琐的 XML 配置。该框架因其功能强大、可重复使用的组件而受到开发人员的喜爱,这些组件简化了 Web 应用程序开发,使其既有趣又高效。
该漏洞源于处理 XSLT(可扩展样式表语言转换)输入时缺乏输入验证。通过注入恶意 XSLT 代码,攻击者可以操纵应用程序的行为,从而导致在易受攻击的系统上下文中执行代码。
任何使用 Apache Wicket 易受攻击版本的组织或个人都将面临直接风险。 其中包括:
Apache Wicket 版本 10.0.0-M1 至 10.0.0
Apache Wicket 版本 9.0.0 至 9.17.0
Apache Wicket 版本 8.0.0 至 8.15.0
Apache Wicket 团队已迅速对此问题做出响应,发布了该框架的修补版本。强烈建议用户升级到以下版本以降低与 CVE-2024-36522 相关的风险:
Apache Wicket 10.1.0 https://wicket.apache.org/start/wicket-10.x.html
Apache Wicket 9.18.0 https://wicket.apache.org/start/wicket-9.x.html
Apache Wicket 8.16.0 https://wicket.apache.org/start/wicket-8.x.html
这些版本包含对 XSLT 注入漏洞的修复,可防止漏洞利用并降低远程代码执行的风险。
最近开源项目这漏洞有点多呀 openssh Ghostscript
Popular Events
CVE-2024-36522 Apache Wicket 存在远程代码执行漏洞
Apache 软件基金会发布了有关漏洞 ( CVE-2024-36522 ) 的安全公告,该漏洞影响广泛使用的 Java Web 应用程序框架 Apache Wicket。该漏洞源于 XSLTResourceStream.java 组件中的输入验证不当,攻击者可利用该漏洞在受影响的系统上远程执行任意代码。
Apache Wicket 以其清晰的标记和逻辑分离而闻名,它利用了普通旧式 Java 对象 (POJO) 并避免了繁琐的 XML 配置。该框架因其功能强大、可重复使用的组件而受到开发人员的喜爱,这些组件简化了 Web 应用程序开发,使其既有趣又高效。
该漏洞源于处理 XSLT(可扩展样式表语言转换)输入时缺乏输入验证。通过注入恶意 XSLT 代码,攻击者可以操纵应用程序的行为,从而导致在易受攻击的系统上下文中执行代码。
任何使用 Apache Wicket 易受攻击版本的组织或个人都将面临直接风险。 其中包括:
Apache Wicket 版本 10.0.0-M1 至 10.0.0
Apache Wicket 版本 9.0.0 至 9.17.0
Apache Wicket 版本 8.0.0 至 8.15.0
Apache Wicket 团队已迅速对此问题做出响应,发布了该框架的修补版本。强烈建议用户升级到以下版本以降低与 CVE-2024-36522 相关的风险:
Apache Wicket 10.1.0 https://wicket.apache.org/start/wicket-10.x.html
Apache Wicket 9.18.0 https://wicket.apache.org/start/wicket-9.x.html
Apache Wicket 8.16.0 https://wicket.apache.org/start/wicket-8.x.html
这些版本包含对 XSLT 注入漏洞的修复,可防止漏洞利用并降低远程代码执行的风险。