漏洞预警|Apache Sling JCR Base 存在JNDI注入漏洞

最新推荐文章于 2023-03-23 14:18:28 发布
最新推荐文章于 2023-03-23 14:18:28 发布
阅读量463 收藏
点赞数
分类专栏: 漏洞预警 文章标签: java servlet 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/129068267
版权

棱镜七彩安全预警

近日网上有关于开源项目Apache Sling JCR Base 存在JNDI注入漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache Sling是一个基于可扩展内容树的RESTful Web应用程序框架。简而言之,Sling根据请求的路径、扩展名和选择器将HTTP请求URL映射到内容资源。使用约定优于配置,请求由脚本和servlet处理,根据当前资源动态选择。这促进了有意义的URL和资源驱动的请求处理,而Sling的模块化特性允许只包含所需内容的专用服务器实例。

项目主页

https://sling.apache.org/

代码托管地址

https://github.com/apache/sling-org-apache-sling-jcr-base

CVE编号

CVE-2023-25141

漏洞情况

Apache Sling JCR Base 提供 JCR 实用程序类和对存储库挂载的支持,是ApacheSling项目的一部分。

在JDK 1.8.191或更低版本中运行Apache Sling JCR Base且项目版本小于3.1.12时可能存在JNDI注入漏洞,由于RepositoryAccessor.java中的getRepository方法和getRepositoryFromURL方法对传入的参数验证不当导致JNDI或RMI注入。远程攻击者可以通过JDNI和RMI连接访问存储在服务器上的任意数据。

受影响的版本

org.apache.sling:org.apache.sling.jcr.base@(-∞, 3.1.12)

修复方案

将组件 org.apache.sling:org.apache.sling.jcr.base 升级至 3.1.12 及以上版本

链接地址:

NVD - CVE-2023-25141

SLING-11770 : Cleanup in sling-jcr-base · apache/sling-org-apache-sling-jcr-base@6ed0a03 · GitHub

SLING-11770 : Cleanup in sling-jcr-base by anchela · Pull Request #8 · apache/sling-org-apache-sling-jcr-base · GitHub

[SLING-11770] Cleanup in sling-jcr-base - ASF JIRA

查看更多安全漏洞:快速查询安全漏洞 | 柒巧板

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sling-site:Apache Sling网站
05-11
Apache Sling网站 该存储库包含网站的内容,该网站于2017年9月从Apache CMS移至此JBake生成的站点。 如何在本地构建和登台网站 克隆此存储库,运行以下Maven命令,打开并享用。 mvn clean package -Prun-site 这使您可以在最终发布更改之前对其进行试验。 如何发布网站 每次推送到master分支都会自动重新生成网站,并将其发布到 ,有关详细信息,请参阅 。 相应的Jenkins作业从此文件顶部的“ build”标志链接。 但是,如果由于某些原因需要手动发布网站,则需要遵循以下说明。 克隆此存储库并运行以下命令或等效命令: # Build the site and review your changes mvn clean package # deploy the site mvn clean package -Ppublish-
sling-org-apache-sling-starter-content:Apache Sling 入门内容
08-03
Apache Sling 入门内容入门内容包提供了一些初始内容和示例内容以及指向上的在线资源的链接该模块是项目的一部分。可扩展性可以通过将资源放在/content/starter/sidebar-extensions下来提供其他内容。 这些将在右侧...
apache sling_Apache Sling JCR Web控制台插件1.0.0发布
06-29 210
Apache Sling JCR Web控制台插件已达到1.0.0版。 Apache Sling Web框架使用Java Content Repository来存储和监视内容,并使用脚本和Java servlet以RESTful方式处理HTTP请求。 在此版本中,添加了节点类型配置打印机,并以粗体显示了声明的节点类型信息。 已创建Web控制台ConfigurationPrinter以输出命名空间...
Apache Sling
weixin_30642305的博客
04-07 672
最新打算研究下Apache Sling ,在此记录下过程~ 官网地址 Apache Sling - Bringing Back the Fun! 带回快乐 Apache Sling™is an innovative web framework that is intended to bring back the fun to web development. Discussion...
Apache Sling App CMS <1.1.4 存在反射型XSS漏洞(CVE-2022-46769)
murphysec的博客
01-11 472
1.1.4 之前版本的 Apache Sling 中的 cms.js#confirmMessage 方法未对用户可控的 `title` 和 `message` 参数进行过滤,攻击者可将精心构造的 js 代码注入到 startcontent.jsp 页面的 `recentContent` 参数中,当用户访问该页面时远程执行恶意 javascript 代码。该漏洞存在 POC。
【记录十七】Sling JCR Resources
KevinLiu
10-28 651
什么是资源 资源是Sling的核心部分之一。从JCR的《一切都是内容》扩展到现在,Sling认为一切都是资源。因此,Sling维护着一个虚拟的资源树,它是JCR存储库中实际内容与所谓资源提供者提供的资源的合并。通过这样做,Sling非常适合REST体系结构的范式。 资源属性 Path 路径 资源是资源树的一部分。这样,每个资源都有一条路径,该路径是通过将所有资源的名称沿根目录连接到以斜杠分隔的资...
sling-org-apache-sling-serviceusermapper:Apache Sling服务用户映射器
04-09
Apache Sling服务用户映射器 该模块是项目的一部分。 提供一项服务,将带有可选服务信息的服务名称映射到用户名,以用于访问诸如JCR存储库或Sling ResourceResolver之类的存储库。
sling-browser:简单的 Sling JCR 浏览器
06-18
吊索浏览器用于探索内容存储库的简单 Apache Sling 浏览器,类似于 Sling 默认浏览器和其他 JCR Explorer 项目。 需要 Sling 6.x+安装克隆这个项目并解压文件,进入文件根目录确保 Sling 正在运行运行: mvn -P ...
wnews-sling:用Apache Sling开发的新闻站点
02-25
使用Apache Sling开发的新闻站点 建造 该项目使用gradle进行构建和捆绑。 以下是最常用的任务: build # rebuild and package bundle jars deployBundle # upload bundle jars to the configured OSGi (e.g. Apache...
sling-model-with-params:带有输入参数的 Apache Sling 模型实现
07-08
带参数的吊索模型 带有输入参数的 Apache Sling 模型实现
sling-utils:现代Apache Sling实用程序和库-使吊索更有用
05-11
吊索 常见的吊索 提供通用的实用程序功能和帮助程序类,以简化Apache Sling中的开发。 根据LGPL 3许可 适用于AEM 6.2及更高版本 <dependencies> <dependency> <groupId>io.marto.sling</groupId> <artifactId>sling-lib</artifactId> <version>0.0.1</version> </dependency> </dependencies> 执照 LGPL 3-请参阅LICENSE.txt
Go-sling-一个GoHTTP客户端库用于创建和发送API请求
08-13
sling - 一个Go HTTP客户端库用于创建和发送API请求
Apache Sling Resource Merger 存在拒绝服务漏洞(CVE-2023-26513)
murphysec的博客
03-23 329
Apache Sling 是一个基于可扩展内容树(content tree)的 RESTful Web 应用程序框架,Resource Merger 用于在运行时将多个 Sling 资源合并为一个虚拟资源树。 MergingResourceProvider.java 类中的 getRelativePath 方法用于将根路径之外的绝对路径转化为相对路径,Apache Sling 受影响版本中由于该方法未对用户传入的绝对路径参数进行过滤,攻击者可通过在发送的资源合并请求的 url 后缀中添加过长的绝对路径造成
apache sling_Apache Sling对待粉丝的四个新版本
07-01 383
Apache Sling团队宣布了一个新版本列表,包括Sling JCR Jackrabbit访问管理器的2.1.0版本,Apache Sling JCR Jackrabbit用户管理器和Apache Sling JCR Jackrabbit用户管理器。 还宣布了Apache Sling JCR DavEX支持1.0.0。 Apache Sling是一个Web框架,使用Java Conte...
Apache环境搭建与使用
lian_linux的博客
07-05 607
1、下载Apache a、官网:http://httpd.apache.org/download.cgi 本人window8 64位系统 安装有VS2012 下载了上面那个版本 2、下载完之后解压安装,然后修改下面Define SRVROOT 指的是自己安装apache的安装路径 2 3、设置监听ip和端口 3、查看apache工作情况 ...
Sling CMS 学习:环境搭建(一)
zhaoqi333的博客
08-20 2013
一,安装 下载地址:https://sling.apache.org/documentation/getting-started.html 运行:  java -jar org.apache.sling.cms.builder-0.9.0.jar
Apache Scaleph
最新发布
05-24
我不确定您想表达什么,是不是指Apache SlingApache SlingApache基金会的一个Web框架,它基于OSGi和Java技术,提供了一种面向RESTful风格的Web应用程序开发的方式。它的主要特点是利用Java Content Repository ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值