2020年9月11日,Apache 软件基金会发布安全公告,修复了 Apache Cocoon XML 外部实体注入漏洞(CVE-2020-11991)。
漏洞详情
Apache Cocoon 是一个基于 Spring 框架,围绕分离理念建立的构架,在该框架下的所有处理都被预先定义好的处理组件线性连接起来,能够将输入和产生的输出按照流水线顺序处理。用户群包括 Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry 等等,Apache Cocoon 通常被作为一个数据抽取、转换、加载工具或系统之间传输数据的中转站。
CVE-2020-11991 与 StreamGenerator 有关,Cocoon 在使用 StreamGenerator 时,将解析用户提供的 XML。攻击者通过包括外部系统实体在内的特制 XML 来访问服务器系统上的任何文件。
风险等级
高风险
漏洞风险
攻击者可以通过包括外部系统实体在内的特制 XML 来访问服务器系统上的任何文件。
影响版本
Apache Cocoon <= 2.1.12
修复建议
目前厂商已在新版本修复该漏洞,腾讯安全建议您:
用户应升级到 Apache Cocoon 2.1.13 最新版本
腾讯云 Web 应用防火墙(Web Application Firewall)已支持拦截防御 CVE-2020-11991 此类 XXE 漏洞。
注意:
建议您在安装补丁前做好数据备份工作,避免出现意外。
参考信息
官方更新通告: