一、漏洞详情
Apache Tapestry是一种基于Java的Web应用程序框架。Tapestry采用了组件的概念。开发者可以应用现有的组建或自定义应用程序相关的组建来构建应用程序。
Apache官方披露了一个Apache Tapestry的未经身份验证的远程执行代码漏洞,漏洞编号:CVE-2021-27850。攻击者通过精心构造的URL,可利用该漏洞成功执行任意代码。建议受影响用户及时升级至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache Tapestry 5.4.5
Apache Tapestry 5.5.0
Apache Tapestry 5.6.2
Apache Tapestry 5.7.0
三、修复建议
建议受影响用户升级至安全版本,目前官方已发布最新版本修复漏洞,链接如下:
https://tapestry.apache.org/2021/03/16/tapestry-571-released.html
https://tapestry.apache.org/2021/04/14/tapestry-564-released.html
https://tapestry.apache.org/2021/04/14/tapestry-572-released.html