【漏洞通告】Apache Jackrabbit 远程代码执行漏洞安全风险通告

近日，嘉诚安全监测到Apache官方发布Apache Jackrabbit安全版本，修复了一个远程代码执行漏洞，漏洞编号为：CVE-2023-37895。

Apache Jackrabbit是一个强大的开源内容存储库，适用于构建各种内容管理应用程序。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

经研判，该漏洞为高危漏洞，PoC/EXP已公开。由于commons-beanutils中存在一个通过 RMI 执行远程代码的类，攻击者通过构造的恶意序列化数据，发送到目标系统上的 RMI 服务端口（默认为1099端口）或发送到RMI-over-HTTP路径（默认路径为"/rmi"）。当目标系统反序列化数据时，将会执行恶意代码。

影响范围：

Apache Jackrabbit Webapp (jackrabbit-webapp) 2.21.0 < 2.21.18

Apache Jackrabbit Webapp (jackrabbit-webapp) 1.0.0 < 2.20.11

Apache Jackrabbit Standalone (jackrabbit-standalone和 jackrabbit-standalone-components) 2.21.0 < 2.21.18

Apache Jackrabbit Standalone (jackrabbit-standalone 和 jackrabbit-standalone-components) 1.0.0 < 2.20.11

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

Apache Jackrabbit Webapp (jackrabbit-webapp) 2.21.0 >= 2.21.18

Apache Jackrabbit Webapp (jackrabbit-webapp) 1.0.0 >= 2.20.11

Apache Jackrabbit Standalone (jackrabbit-standalone和 jackrabbit-standalone-components) 2.21.0 >= 2.21.18

Apache Jackrabbit Standalone (jackrabbit-standalone 和 jackrabbit-standalone-components) 1.0.0 >= 2.20.11

下载链接请参考：

https://jackrabbit.apache.org/jcr/downloads.html#apache-jackrabbit-2-21-18-july-24th-2023