首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-13953 | Apache Tapestry WEB-INF文件下載漏洞通告

發布時間 2020-09-27

0x00 漏洞概述

CVE  ID

CVE-2020-13953

時   間

2020-09-27

類   型


等   級

中危

遠程利用

影響范圍

Tapestry 5.4.0-5.5.0


Apache Tapestry是一個使用Java語言編寫的開源框架,用于創建動態的、健壯的、高靈活性的web應用程序。Tapestry框架構筑在標準的Java Servlet API之上,因此它能夠很好地兼容任何servlet容器或者應用服務。Tapestry具有許多安全功能,旨在增強應用程序免受不必要的入侵和拒絕服務的侵害。

0x01 漏洞詳情

圖片.png

 

2020年09月26日,Apache Tapestry中被暴露出存在一個文件下載漏洞。漏洞追蹤為CVE-2020-13953,其漏洞等級為中危。攻擊者可通過惡意的URL下載WEB-INF中的文件。


0x02 處置建議

將Apache Tapestry升級到 5.6.0或更高版本。

下載鏈接:

https://tapestry.apache.org/download.html

0x03 參考鏈接

https://www.mail-archive.com/users@tapestry.apache.org/msg77276.html

https://seclists.org/oss-sec/2020/q3/197

https://tapestry.apache.org/security.html

0x04 時間線

2020-09-26  Apache發布安全公告

2020-09-27  VSRC發布安全通告

0x05 附錄

CVSS評分標準官網:http://www.first.org/cvss/



圖片.png

 

 

 



上一篇 下一篇