安全通告
Apache JSPWiki任意文件删除漏洞安全风险通告
发布日期:2021-12-1
漏洞描述
2021年12月1日,监测到一则Apache JSPWiki 组件存在文件删除漏洞的信息。
Apache JSPWiki 是一个用Java和JSP编写的开源 WikiWiki 引擎,功能丰富,围绕标准JEE 组件(Java、servlet、JSP)构建。
JSPWiki 是一个简单的 WikiWiki 克隆。WikiWiki 是一个允许任何人参与其开发的网站。JSPWiki 支持所有传统的 wiki 功能,以及使用 JAAS 的非常详细的访问控制和安全集成。
该漏洞是由于未对用户的输入做合适的过滤,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行任意文件删除攻击,最终造成服务器上任意位置的文件被删除。
漏洞编号
CVE-2021-44140
漏洞危害
攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行任意文件删除攻击,最终造成服务器上任意位置的文件被删除。
漏洞等级
高危
受影响版本
Apache JSPWiki < 2.11.0
修复方案
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。
参考链接
- https://jspwiki-wiki.apache.org/Wiki.jsp?page=Downloads
- https://nvd.nist.gov/vuln/detail/CVE-2021-44140