一、漏洞详情
Apache Wicket是一个功能强大、灵活易用且开源的Java Web应用程序框架,具有面向组件的开发模型、类型安全性、强大的状态管理机制和丰富的组件库等特点。
2024年7月15日,启明星辰集团VSRC监测到Apache Wicket中修复了一个远程代码执行漏洞(CVE-2024-36522),CVSSv3评分为9.8。
在未经适当验证的情况下处理来自不可信来源的输入时,Apache Wicket的wicket-core软件包中XSLTResourceStream.java的默认配置容易受到XSLT注入攻击,远程威胁者可利用该漏洞注入恶意XSLT代码,从而可能导致在服务器端执行任意代码。
二、影响范围Apache Wicket 10.0.0-M1 - 10.0.0
Apache Wicket 9.0.0 - 9.17.0
Apache Wicket 8.0.0 - 8.15.0
三、修复建议
目前该漏洞已经修复,受影响用户可升级到Apache Wicket 10.1.0、9.18.0、8.16.0或更高版本。
Designed by