- 动态与公告
- 产品动态
- 产品公告
- 安全公告
- Apache log4j2 远程代码执行漏洞风险公告(CVE-2021-44832)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-44228)
- Weblogic Console HTTP 协议远程代码执行漏洞公告
- Exchange Server 命令执行漏洞的安全防护公告
- 用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞公告
- CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告
- WordPress File Manager 存在任意代码执行漏洞公告
- Jenkins 发布9月安全更新公告
- Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)
- Apache SkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921)
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 常见问题
- 服务等级协议
- WAF 策略
- 联系我们
- 词汇表
- 动态与公告
- 产品动态
- 产品公告
- 安全公告
- Apache log4j2 远程代码执行漏洞风险公告(CVE-2021-44832)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-44228)
- Weblogic Console HTTP 协议远程代码执行漏洞公告
- Exchange Server 命令执行漏洞的安全防护公告
- 用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞公告
- CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告
- WordPress File Manager 存在任意代码执行漏洞公告
- Jenkins 发布9月安全更新公告
- Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)
- Apache SkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921)
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 常见问题
- 服务等级协议
- WAF 策略
- 联系我们
- 词汇表
2020年9月11日,Apache 软件基金会发布安全公告,修复了 Apache Cocoon XML 外部实体注入漏洞(CVE-2020-11991)。
漏洞详情
Apache Cocoon 是一个基于 Spring 框架,围绕分离理念建立的构架,在该框架下的所有处理都被预先定义好的处理组件线性连接起来,能够将输入和产生的输出按照流水线顺序处理。用户群包括 Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry 等等,Apache Cocoon 通常被作为一个数据抽取、转换、加载工具或系统之间传输数据的中转站。
CVE-2020-11991 与 StreamGenerator 有关,Cocoon 在使用 StreamGenerator 时,将解析用户提供的 XML。攻击者通过包括外部系统实体在内的特制 XML 来访问服务器系统上的任何文件。
风险等级
高风险
漏洞风险
攻击者可以通过包括外部系统实体在内的特制 XML 来访问服务器系统上的任何文件。
影响版本
Apache Cocoon <= 2.1.12
修复建议
目前厂商已在新版本修复该漏洞,腾讯安全建议您:
用户应升级到 Apache Cocoon 2.1.13 最新版本
腾讯云 Web 应用防火墙(Web Application Firewall)已支持拦截防御 CVE-2020-11991 此类 XXE 漏洞。
注意:
建议您在安装补丁前做好数据备份工作,避免出现意外。
参考信息
官方更新通告:
是
否
本页内容是否解决了您的问题?