【漏洞通告】Apache JSPWiki任意文件删除漏洞安全风险通告(CVE-2021-44140)

安全通告

Apache JSPWiki任意文件删除漏洞安全风险通告

发布日期:2021-12-1

 

漏洞描述

2021年12月1日,监测到一则Apache JSPWiki 组件存在文件删除漏洞的信息。

Apache JSPWiki 是一个用Java和JSP编写的开源 WikiWiki 引擎,功能丰富,围绕标准JEE 组件(Java、servlet、JSP)构建。

JSPWiki 是一个简单的 WikiWiki 克隆。WikiWiki 是一个允许任何人参与其开发的网站。JSPWiki 支持所有传统的 wiki 功能,以及使用 JAAS 的非常详细的访问控制和安全集成。

该漏洞是由于未对用户的输入做合适的过滤,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行任意文件删除攻击,最终造成服务器上任意位置的文件被删除。

漏洞编号

CVE-2021-44140

漏洞危害

攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行任意文件删除攻击,最终造成服务器上任意位置的文件被删除。

漏洞等级

高危
受影响版本

Apache JSPWiki < 2.11.0

修复方案

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。

参考链接