文档中心 > Web 应用防火墙 > 安全公告 > CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告

CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告

最近更新时间:2020-10-12 16:28:56

2020年9月11日,Apache 软件基金会发布安全公告,修复了 Apache Cocoon XML 外部实体注入漏洞(CVE-2020-11991)。

漏洞详情

Apache Cocoon 是一个基于 Spring 框架,围绕分离理念建立的构架,在该框架下的所有处理都被预先定义好的处理组件线性连接起来,能够将输入和产生的输出按照流水线顺序处理。用户群包括 Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry 等等,Apache Cocoon 通常被作为一个数据抽取、转换、加载工具或系统之间传输数据的中转站。

CVE-2020-11991 与 StreamGenerator 有关,Cocoon 在使用 StreamGenerator 时,将解析用户提供的 XML。攻击者通过包括外部系统实体在内的特制 XML 来访问服务器系统上的任何文件。

风险等级

高风险

漏洞风险

攻击者可以通过包括外部系统实体在内的特制 XML 来访问服务器系统上的任何文件。

影响版本

Apache Cocoon <= 2.1.12

修复建议

目前厂商已在新版本修复该漏洞,腾讯安全建议您:

  • 用户应升级到 Apache Cocoon 2.1.13 最新版本
  • 腾讯云 Web 应用防火墙(Web Application Firewall)已支持拦截防御 CVE-2020-11991 此类 XXE 漏洞。
注意:

建议您在安装补丁前做好数据备份工作,避免出现意外。

参考信息

官方更新通告:

目录