CVE-2020-13953 | Apache Tapestry WEB-INF文件下载漏洞通告
发布时间 2020-09-270x00 漏洞概述
CVE ID | CVE-2020-13953 | 时 间 | 2020-09-27 |
类 型 | 等 级 | 中危 | |
远程利用 | 是 | 影响范围 | Tapestry 5.4.0-5.5.0 |
Apache Tapestry是一个使用Java语言编写的开源框架,用于创建动态的、健壮的、高灵活性的web应用程序。Tapestry框架构筑在标准的Java Servlet API之上,因此它能够很好地兼容任何servlet容器或者应用服务。Tapestry具有许多安全功能,旨在增强应用程序免受不必要的入侵和拒绝服务的侵害。
0x01 漏洞详情
2020年09月26日,Apache Tapestry中被暴露出存在一个文件下载漏洞。漏洞追踪为CVE-2020-13953,其漏洞等级为中危。攻击者可通过恶意的URL下载WEB-INF中的文件。
0x02 处置建议
将Apache Tapestry升级到 5.6.0或更高版本。
下载链接:
https://tapestry.apache.org/download.html
0x03 参考链接
https://www.mail-archive.com/users@tapestry.apache.org/msg77276.html
https://seclists.org/oss-sec/2020/q3/197
https://tapestry.apache.org/security.html
0x04 时间线
2020-09-26 Apache发布安全公告
2020-09-27 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/