CVE-2024-36522 Apache Wicket 存在远程代码执行漏洞

Apache 软件基金会发布了有关漏洞 ( CVE-2024-36522 ) 的安全公告，该漏洞影响广泛使用的 Java Web 应用程序框架 Apache Wicket。该漏洞源于 XSLTResourceStream.java 组件中的输入验证不当，攻击者可利用该漏洞在受影响的系统上远程执行任意代码。

Apache Wicket 以其清晰的标记和逻辑分离而闻名，它利用了普通旧式 Java 对象 (POJO) 并避免了繁琐的 XML 配置。该框架因其功能强大、可重复使用的组件而受到开发人员的喜爱，这些组件简化了 Web 应用程序开发，使其既有趣又高效。

该漏洞源于处理 XSLT（可扩展样式表语言转换）输入时缺乏输入验证。通过注入恶意 XSLT 代码，攻击者可以操纵应用程序的行为，从而导致在易受攻击的系统上下文中执行代码。

任何使用 Apache Wicket 易受攻击版本的组织或个人都将面临直接风险。 其中包括：

Apache Wicket 版本 10.0.0-M1 至 10.0.0

Apache Wicket 版本 9.0.0 至 9.17.0

Apache Wicket 版本 8.0.0 至 8.15.0

Apache Wicket 团队已迅速对此问题做出响应，发布了该框架的修补版本。强烈建议用户升级到以下版本以降低与 CVE-2024-36522 相关的风险：

Apache Wicket 10.1.0 https://wicket.apache.org/start/wicket-10.x.html

Apache Wicket 9.18.0 https://wicket.apache.org/start/wicket-9.x.html

Apache Wicket 8.16.0 https://wicket.apache.org/start/wicket-8.x.html

这些版本包含对 XSLT 注入漏洞的修复，可防止漏洞利用并降低远程代码执行的风险。