CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告

最后更新时间:2020-10-13 11:48:20

    2020年9月11日,Apache 软件基金会发布安全公告,修复了 Apache Cocoon XML 外部实体注入漏洞(CVE-2020-11991)。

    漏洞详情

    Apache Cocoon 是一个基于 Spring 框架,围绕分离理念建立的构架,在该框架下的所有处理都被预先定义好的处理组件线性连接起来,能够将输入和产生的输出按照流水线顺序处理。用户群包括 Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry 等等,Apache Cocoon 通常被作为一个数据抽取、转换、加载工具或系统之间传输数据的中转站。

    CVE-2020-11991 与 StreamGenerator 有关,Cocoon 在使用 StreamGenerator 时,将解析用户提供的 XML。攻击者通过包括外部系统实体在内的特制 XML 来访问服务器系统上的任何文件。

    风险等级

    高风险

    漏洞风险

    攻击者可以通过包括外部系统实体在内的特制 XML 来访问服务器系统上的任何文件。

    影响版本

    Apache Cocoon <= 2.1.12

    修复建议

    目前厂商已在新版本修复该漏洞,腾讯安全建议您:

    • 用户应升级到 Apache Cocoon 2.1.13 最新版本
    • 腾讯云 Web 应用防火墙(Web Application Firewall)已支持拦截防御 CVE-2020-11991 此类 XXE 漏洞。

    注意:

    建议您在安装补丁前做好数据备份工作,避免出现意外。

    参考信息

    官方更新通告: