CVE-2020-13953 | Apache Tapestry WEB-INF文件下载漏洞通告

发布时间 2020-09-27

0x00 漏洞概述

CVE  ID

CVE-2020-13953

时   间

2020-09-27

类   型


等   级

中危

远程利用

影响范围

Tapestry 5.4.0-5.5.0


Apache Tapestry是一个使用Java语言编写的开源框架,用于创建动态的、健壮的、高灵活性的web应用程序。Tapestry框架构筑在标准的Java Servlet API之上,因此它能够很好地兼容任何servlet容器或者应用服务。Tapestry具有许多安全功能,旨在增强应用程序免受不必要的入侵和拒绝服务的侵害。

0x01 漏洞详情

图片.png

 

2020年09月26日,Apache Tapestry中被暴露出存在一个文件下载漏洞。漏洞追踪为CVE-2020-13953,其漏洞等级为中危。攻击者可通过恶意的URL下载WEB-INF中的文件。


0x02 处置建议

将Apache Tapestry升级到 5.6.0或更高版本。

下载链接:

https://tapestry.apache.org/download.html

0x03 参考链接

https://www.mail-archive.com/users@tapestry.apache.org/msg77276.html

https://seclists.org/oss-sec/2020/q3/197

https://tapestry.apache.org/security.html

0x04 时间线

2020-09-26  Apache发布安全公告

2020-09-27  VSRC发布安全通告

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/



图片.png