关于Apache Wicket远程代码执行漏洞(CVE-2024-36522)的预警提示

发布时间:2024年08月14日来源: 作者:信息化办

一、漏洞详情

Apache Wicket是一个开源的Java Web应用程序框架,具有面向组件的开发模型。

近日,监测到Apache Wicket中修复了一个远程代码执行漏洞(CVE-2024-36522)。在未经适当验证的情况下处理来自不可信来源的输入时,Apache Wicketwicket-core软件包中XSLTResourceStream.java的默认配置容易受到XSLT注入攻击,远程威胁者可利用该漏洞注入恶意XSLT代码,从而可能导致在服务器端执行任意代码。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Apache Wicket 10.0.0-M1 - 10.0.0

Apache Wicket 9.0.0 - 9.17.0

Apache Wicket 8.0.0 - 8.15.0

三、修复建议

目前该漏洞已经修复,受影响用户可升级到Apache Wicket 10.1.09.18.08.16.0或更高版本。