万利国际官网

首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-13953 | Apache Tapestry WEB-INF文件下载误差通告

宣布时间 2020-09-27

0x00 误差概述

CVE ID	CVE-2020-13953	时间	2020-09-27
类型		等级	中危
远程使用	是	影响规模	Tapestry 5.4.0-5.5.0

Apache Tapestry是一个使用Java语言编写的开源框架，，，，，，，，用于建设动态的、结实的、高无邪性的web应用程序。。。。。。Tapestry框架修建在标准的Java Servlet API之上，，，，，，，，因此它能够很好地兼容任何servlet容器或者应用效劳。。。。。。Tapestry具有许多清静功效，，，，，，，，旨在增强应用程序免受不须要的入侵和拒绝效劳的损害。。。。。。

0x01 误差详情

图片.png

2020年09月26日，，，，，，，，Apache Tapestry中被袒露出保存一个文件下载误差。。。。。。误差追踪为CVE-2020-13953，，，，，，，，其误差品级为中危。。。。。。攻击者可通过恶意的URL下载WEB-INF中的文件。。。。。。

0x02 处置惩罚建议

将Apache Tapestry升级到 5.6.0或更高版本。。。。。。

下载链接：

https://tapestry.apache.org/download.html

0x03 参考链接

https://www.mail-archive.com/users@tapestry.apache.org/msg77276.html

https://seclists.org/oss-sec/2020/q3/197

https://tapestry.apache.org/security.html

0x04 时间线

2020-09-26 Apache宣布清静通告

2020-09-27 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

图片.png

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 万利国际官网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】