Apache Jackrabbit 中存在严重的RCE漏洞

于 2023-07-27 17:33:51 发布
阅读量347 收藏
点赞数
文章标签: apache
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517243&idx=3&sn=aec30860da6f2a9d9af2ea532a32b258&chksm=ea94b551dde33c4713eeba8084b8b9a9eff3f5fb6ef34ea6ac25267f911bc21fd317e9ca8c8d&scene=126&sessionid=0
版权

3ff78d3e27d08374c01bda4f6621d8a1.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Java 平台的开源内容仓库 Apache Jackrabbit 中存在一个严重的远程代码执行漏洞 (CVE-2023-37895),可使攻击者利用 RMI 实现中一个 Java 对象反序列化问题在易受攻击系统上远程执行代码。

0417037efb17eef327a6a238ad51dd12.gif

Apache Jackrabbit 是 Java Technology API (JCR) 的内容仓库实现,是管理仓库内容的综合性平台。它具有强大的能力如结构化和非结构化内容支持、全文本搜索等,广泛用于 web 内容管理系统、文档管理系统和企业内容管理机系统中。

CVE-2023-37895 可通过利用 Jackrabbit 的RMI 接口实现远程代码执行后果。该漏洞存在重大风险,可导致攻击者远程执行任意代码,从而攻陷系统。该漏洞被评级为“严重”,影响 Apache Jackrabbit Webapp 和独立版本1.0.0至2.21.18。

该漏洞源自位于所有Jackrabbit webapp 和独立版本2.20.10和2.21.17中的Java对象反序列化漏洞。利用涉及 “commons-beanutils”组件,其中包含易受通过 RMI 而导致的远程代码执行影响的类。

建议 Jackrabbit 用户立即更新至版本 2.20.11或2.21.18。值得注意的是,老旧的稳定分支 (1.0.x到2.18.x)已被标记为已达生命周期,将不再接收更多更新。然而,即使 Jackrabbit 中不存在可利用的代码,但 RMI 支持的存在就可暴露潜在漏洞。该服务器上的更多组件可能也存在同样问题,因此需要完全禁用RMI访问权限。另外,目前也在讨论在未来的 Jackrabbit 发布中考虑删除 RMI 支持。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

Apache Superset 会话验证漏洞可导致攻击者访问未授权资源

Apache Linkis 修复多个漏洞

【已复现】Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)安全风险通告

Apache Superset中存在严重漏洞

Apache ShardingSphere身份认证绕过漏洞(CVE-2022-45347)安全风险通告

原文链接

https://securityonline.info/cve-2023-37895-a-critical-remote-code-execution-in-apache-jackrabbit/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

377cabbfb0ccc8b1511e7c0a3715a886.jpeg

7811beccf46b7bfcc46674bdf1197f18.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   3e4f8f7e1b0382e1fcf6b2d062762b43.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Jackrabbit入门
04-02
NULL 博文链接:https://suigara.iteye.com/blog/1454765
Apache Jackrabbit漏洞浅析
最新发布
moresec的博客
12-28 832
Apache Jackrabbit是一个Java开源内容存储库,1.0.0 <= 版本 < 2.20.11、2.21.0 <= 版本 < 2.21.18存在RMI功能导致的远程代码执行漏洞
jackrabbit java_Apache Jackrabbit 常见问题
weixin_31080131的博客
02-25 194
Persistence managersA persistence manager (PM) is an internal Jackrabbit component that handles the persistent storage of content nodes and properties. Each workspace of a Jackrabbit content repositor...
【深入浅出Apache Jackrabbit】第二章 Apache Jackrabbit 入门
这是一个爱吃火鸡味锅巴女孩的博客
07-12 474
欢迎第一次进入 Jackrabbit 的世界!本介绍让您亲身体验 Jackrabbit 和 JCR API。
Apache Jackrabbit 2.18.1 发布,内容储存库
weixin_33824363的博客
04-19 148
Apache Jackrabbit 2.18.1是一个增量版本,基于并兼容早期稳定的 Jackrabbit 2.x 版本。 Jackrabbit 2.18.x 版本被认为是稳定的,适合...
jackrabbit-filevault:Apache Jackrabbit FileVault
02-06
欢迎使用Apache Jackrabbit FileVault FileVault将JCR存储库引入了文件系统映射。 该映射由API公开,并由“ FileVault Content Packages”使用,后者允许创建存储库内容的可移植软件包。 Vault命令行界面(又称“ ...
jackrabbitApache Jackrabbit的镜像
02-04
jackrabbitApache Jackrabbit的镜像
jackrabbit-oak:阿帕奇Jackrabbit Oak的镜子
02-04
Apache JackrabbitApache软件基金会的项目。 入门 要开始使用Oak,请使用Maven 3和Java 8(或更高版本)构建最新的源代码,如下所示: mvn clean install 要启用所有集成测试,包括JCR TCK,请使用: mvn clean...
jcr-oak-rpc-nodejs:NodeJS Apache Jackrabbit 3 (Oak) API 模块
06-26
jcr-oak-rpc-api-nodejs 用于通过 nodejs 访问 Jacrabbit Oak 存储库的 Api 入门 安装模块: npm install jcr-oak-rpc-api-nodejs var jcr - oak - rpc - api - nodejs = require ( 'jcr-oak-rpc-api-nodejs' ) ;...
apache开源项目--Jackrabbit
weixin_34199335的博客
01-05 111
Apache Jackrabbit 是由 Apache Foundation 提供的 JSR-170 的开放源码实现.. 随着内容管理应用程序的日益普及,对用于内容仓库的普通、标准化 API 的需求已凸现出来。Content Repository for Java Technology API (JSR-170) 的目标就是提供这样一个接口。JSR-170 的一个主要优点是,它不绑定到任何特定的...
内容仓库模型JCR(转载
Sumongh Zone
06-23 311
原文地址:http://www.onjava.com/pub/a/onjava/2006/10/04/what-is-java-content-repository.html?page=4           JSR-170把自己定义为一个能与内容仓库互相访问的,独立的,标准的方式。同时它也对内容仓库做出了自己的定义,它认为内容仓库是一个高级的信息管理系统,该系统是是传统的数据仓库的扩展,它提供...
Apache JackRabbit
知识学杂了。。
03-09 236
Apache JackRabbit是一个开放源码的JSR-170 实现,实现了Level 2,但它还有许多扩展的功能。 JackRabbit需要两个参数来配置一个内容仓库实例。 1.内容仓库主目录:这个文件目录下通常包含了所有的内容,搜索索引,内部配置文件和其他持久化信息。它的结构看起来会像下面这个样子: |-repository ...
Apache Jackrabbit demo(java内容存储例子)
技术代码资料库
07-07 345
项目要用到Apache Jackrabbit 这个内容存储开源东西,网上文的知识真少,昨天看了一下午的API,终于有所了解了,写了一个demo,废话不说,上代码,附加jar包下载地址。直接运行即可 http://download.csdn.net/source/1468982 import javax.jcr.Node; import javax.jcr.Repository; imp...
rmi远程代码执行漏洞_Apache Dubbo 远程代码执行漏洞
weixin_32390279的博客
12-28 141
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider存在一个反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可以构造并发送带有恶意参数负载的RPC请求,当恶意参数被反序列化时将导致远程代码执行。参考链接:hxxps://www.mail-rchive.com/dev@dub...
Apache项目Research之Jackrabbit
Coral's Share Space
10-29 147
    在介绍Jackrabbit之前先介绍一下JCR,JCR(Java Content Repository) 规范是在 Java Community Process 作为 JSR-170 开发的。该规范在 javax.jcr 名称空间提供了统一的 API用以实现统一且标准化了Java内容仓库接口。JSR-170 的一个主要优势就是没有捆绑到任何特定的底层架构上。所以JCR的实现方法可以按照...
jackrabbit 知乎_Apache Jackrabbit版本2.1.0
07-06 158
Apache Jackrabbit团队已宣布发布Apache Jackrabbit版本2.1.0。 Apache Jackrabbit是Java技术API内容库2.0版的实现。 这是基于Jackrabbit 2.0版本的增量功能版本。 在2.1.0版,WebDAV和RMI远程处理层都已扩展,以支持更大范围的JCR 2.0功能。 现在,jackrabbit独立jar包含一个命令行工具,...
Apache Jackrabbit学习
Amy的学习之路
06-09 5499
Apache Jackrabbit(内容仓库)是一个高级的信息guanx
提示错误[ERROR] [ERROR] Some problems were encountered while processing the POMs: [ERROR] Unresolveable build extension: Plugin org.apache.maven.wagon:wagon-webdav-jackrabbit:1.0-beta-6 or one of its dependencies could not be resolved: The following artifacts could not be resolved: commons-httpclient:commons-httpclient:jar:3.1 (absent): Could not transfer artifact commons-httpclient:commons-httpclient:jar:3.1 from/to central (https://repo.maven.apache.org/maven2): Connect to repo.maven.apache.org:443 [repo.maven.apache.org/146.75.112.215] failed: connect timed out @ @ [ERROR] The build could not read 1 project -> [Help 1] [ERROR] [ERROR] The project org.drools:droolsjbpm-integration:7.74.0-SNAPSHOT (D:\droolsjbpm-integration-main\droolsjbpm-integration-main\pom.xml) has 1 error [ERROR] Unresolveable build extension: Plugin org.apache.maven.wagon:wagon-webdav-jackrabbit:1.0-beta-6 or one of its dependencies could not be resolved: The following artifacts could not be resolved: commons-httpclient:commons-httpclient:jar:3.1 (absent): Could not transfer artifact commons-httpclient:commons-httpclient:jar:3.1 from/to central (https://repo.maven.apache.org/maven2): Connect to repo.maven.apache.org:443 [repo.maven.apache.org/146.75.112.215] failed: connect timed out -> [Help 2] [ERROR] [ERROR] To see the full stack trace of the errors, re-run Maven with the -e switch. [ERROR] Re-run Maven using the -X switch to enable full debug logging. [ERROR] [ERROR] For more information about the errors and possible solutions, please read the following articles: [ERROR] [Help 1] http://cwiki.apache.org/confluence/display/MAVEN/ProjectBuildingException [ERROR] [Help 2] http://cwiki.apache.org/confluence/display/MAVEN/PluginManagerException
06-09
看起来你在使用 Maven 构建项目时遇到了一些问题。错误日志显示 Maven 找不到 `commons-httpclient:commons-httpclient:jar:3.1` 这个依赖,可能是由于连接到 Maven 仓库时出现了连接超时的问题导致的。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值