Apache Cocoon XML 外部实体注入漏洞(CVE-2020-11991)

威胁等级
中危
漏洞分类
信息泄漏
影响资产分类
应用服务
检索条件
游客用户没有权限查看,请登录
DVB
DVB-2023-4056
CVE
CVE-2020-11991
CNVD
-
CNNVD
-

漏洞描述

9月11日 Apache 软件基金会发布安全公告,修复了 Apache Cocoon xml外部实体注入漏洞(CVE-2020-11991)。\n\nApache Cocoon 是一个基于 Spring 框架的围绕分离理念建立的构架,在这种框架下的所有处理都被预先定义好的处理组件线性连接起来,能够将输入和产生的输出按照流水线顺序处理。用户群:Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry等等,Apache Cocoon 通常被作为一个数据抽取、转换、加载工具或者是系统之间传输数据的中转站。CVE-2020-11991 与 StreamGenerator 有关,在使用 StreamGenerator 时,代码将解析用户提供的 xml。攻击者可以使用包括外部系统实体在内的特制 xml 来访问服务器系统上的任何文件。\n\nApache Cocoon <= 2.1.12

漏洞详情

游客用户没有权限查看,请登录

修复建议

请关注厂商的修复版本,并及时更新到最新版本.