一、漏洞详情
Apache Sling是一个基于可扩展内容树的 RESTful Web 应用程序框架。Sling API和Commons Log是Apache Sling中的组件。
Apache官方发布安全公告,披露了Apache Sling中的一个日志注入漏洞(CVE-2022-32549)。由于Apache Sling Commons Log <= 5.4.0 和Apache Sling API <= 2.25.0容易受到日志注入攻击,可以通过利用该漏洞注入虚假日志或损坏的日志文件,实现日志伪造以掩盖踪迹。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache Sling Commons Log <= 5.4.0
Apache Sling API <= 2.25.0
三、修复建议
目前此漏洞已经修复,受影响用户可以升级到最新版本:
Apache Sling Commons Log 5.4.2
Apache Sling API 2.25.4
下载链接:https://sling.apache.org/downloads.cgi
Designed by