网站建设的软件有哪些,动态广告图片在线制作,佛山 两学一做 网站,常州云之家网站建设网络公司怎么样棱镜七彩安全预警 近日网上有关于开源项目Apache Sling JCR Base 存在JNDI注入漏洞#xff0c;棱镜七彩威胁情报团队第一时间探测到#xff0c;经分析研判#xff0c;向全社会发起开源漏洞预警公告#xff0c;提醒相关安全团队及时响应。
项目介绍
Apache Sling是一个基于…棱镜七彩安全预警 近日网上有关于开源项目Apache Sling JCR Base 存在JNDI注入漏洞棱镜七彩威胁情报团队第一时间探测到经分析研判向全社会发起开源漏洞预警公告提醒相关安全团队及时响应。
项目介绍
Apache Sling是一个基于可扩展内容树的RESTful Web应用程序框架。简而言之Sling根据请求的路径、扩展名和选择器将HTTP请求URL映射到内容资源。使用约定优于配置请求由脚本和servlet处理根据当前资源动态选择。这促进了有意义的URL和资源驱动的请求处理而Sling的模块化特性允许只包含所需内容的专用服务器实例。
项目主页
https://sling.apache.org/
代码托管地址
https://github.com/apache/sling-org-apache-sling-jcr-base
CVE编号
CVE-2023-25141
漏洞情况
Apache Sling JCR Base 提供 JCR 实用程序类和对存储库挂载的支持是ApacheSling项目的一部分。
在JDK 1.8.191或更低版本中运行Apache Sling JCR Base且项目版本小于3.1.12时可能存在JNDI注入漏洞由于RepositoryAccessor.java中的getRepository方法和getRepositoryFromURL方法对传入的参数验证不当导致JNDI或RMI注入。远程攻击者可以通过JDNI和RMI连接访问存储在服务器上的任意数据。
受影响的版本
org.apache.sling:org.apache.sling.jcr.base(-∞, 3.1.12)
修复方案
将组件 org.apache.sling:org.apache.sling.jcr.base 升级至 3.1.12 及以上版本
链接地址
NVD - CVE-2023-25141
SLING-11770 : Cleanup in sling-jcr-base · apache/sling-org-apache-sling-jcr-base6ed0a03 · GitHub
SLING-11770 : Cleanup in sling-jcr-base by anchela · Pull Request #8 · apache/sling-org-apache-sling-jcr-base · GitHub
[SLING-11770] Cleanup in sling-jcr-base - ASF JIRA 查看更多安全漏洞快速查询安全漏洞 柒巧板
