关于Apache Wicket远程代码执行漏洞（CVE-2024-36522）的预警提示

发布时间：2024-09-01浏览次数：11

一、漏洞详情 Apache Wicket是一个功能强大、灵活易用且开源的Java Web应用程序框架，具有面向组件的开发模型、类型安全性、强大的状态管理机制和丰富的组件库等特点。 2024年7月15日，启明星辰集团VSRC监测到Apache Wicket中修复了一个远程代码执行漏洞（CVE-2024-36522），CVSSv3评分为9.8。 在未经适当验证的情况下处理来自不可信来源的输入时，Apache       Wicket的wicket-core软件包中XSLTResourceStream.java的默认配置容易受到XSLT注入攻击，远程威胁者可利用该漏洞注入恶意XSLT代码，从而可能导致在服务器端执行任意代码。 二、影响范围 Apache Wicket 10.0.0-M1 - 10.0.0 Apache Wicket 9.0.0 - 9.17.0 Apache Wicket 8.0.0 - 8.15.0 三、修复建议      目前该漏洞已经修复，受影响用户可升级到Apache Wicket 10.1.0、9.18.0、8.16.0或更高版本。