【漏洞资讯】CVE-2021-40146 Apache Any23 远程代码执行漏洞

漏洞时间:2021年9月11日

 

漏洞介绍

Apache Everything To Triples (Any23) 是一个库、Web 服务和命令行工具,主要用于从各种 Web 文档中提取 RDF 格式的结构化数据。

2021年9月11日,Apache发布安全公告,修复了Apache Any23中的一个远程代码执行漏洞(CVE-2021-40146),该漏洞存在于Any23 YAMLExtractor.java中,远程攻击者可利用此漏洞在目标系统上执行任意代码。

此外,在Any23的StreamUtils.java文件中发现一个XML外部实体(XXE)注入漏洞(CVE-2021-38555),攻击者可以利用此漏洞干扰应用程序对XML的处理,实现查看应用服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。

漏洞名称
Apache Any23 远程代码执行漏洞
威胁等级
high
漏洞威胁
Apache Any23
影响范围
Apache Any23版本 < 2.5
漏洞类型
RCE&XXE
利用难度
N/A
漏洞编号
CVE-2021-40146\CVE-2021-38555
是否有POC
N/A

 

信息详情

CVE-2021-40146

该漏洞存在于Any23 YAMLExtractor.java中,远程攻击者可利用此漏洞在目标系统上执行任意代码。

CVE-2021-38555

XML外部实体(XXE)注入漏洞,攻击者可以利用此漏洞干扰应用程序对XML的处理,实现查看应用服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。

修复方式

目前上述漏洞已在Apache Any23 2.5版本中修复(已发布),建议受影响用户及时升级更新。

下载链接:

http://any23.apache.org/download.html

参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202109.mbox/%3Cpony-b7497055821405926d63668ab1112e0f108e2346-24b556bb9c8200804abff20daacf3205f453d88d@announce.apache.org%3E

http://mail-archives.apache.org/mod_mbox/www-announce/202109.mbox/%3Cpony-b7497055821405926d63668ab1112e0f108e2346-fc7885638697ea0fec1186b16e985c55e5d49a83@announce.apache.org%3E

本文原创,作者:Galaxy,其版权均为Galaxy Lab所有。如需转载,请注明出处:http://galaxylab.pingan.com.cn/%e3%80%90%e6%bc%8f%e6%b4%9e%e8%b5%84%e8%ae%af%e3%80%91cve-2021-40146-apache-any23-%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e/

发表评论

*