关于Apache Wicket远程代码执行漏洞(CVE-2024-36522)的预警提示

发布时间:2024-09-01浏览次数:11

一、漏洞详情

Apache Wicket是一个功能强大、灵活易用且开源的Java Web应用程序框架,具有面向组件的开发模型、类型安全性、强大的状态管理机制和丰富的组件库等特点。

2024年7月15日,启明星辰集团VSRC监测到Apache Wicket中修复了一个远程代码执行漏洞(CVE-2024-36522),CVSSv3评分为9.8。

在未经适当验证的情况下处理来自不可信来源的输入时,Apache       Wicket的wicket-core软件包中XSLTResourceStream.java的默认配置容易受到XSLT注入攻击,远程威胁者可利用该漏洞注入恶意XSLT代码,从而可能导致在服务器端执行任意代码。

二、影响范围

Apache Wicket 10.0.0-M1 - 10.0.0

Apache Wicket 9.0.0 - 9.17.0

Apache Wicket 8.0.0 - 8.15.0

三、修复建议

     目前该漏洞已经修复,受影响用户可升级到Apache Wicket 10.1.0、9.18.0、8.16.0或更高版本。