Apache Synapse < 3.0.1 远程代码执行漏洞

critical Nessus 插件 ID 142226

简介

远程主机受到远程代码执行漏洞的影响

描述

远程主机上安装的所有版本低于 3.0.1 的 Apache Synapse 受到远程代码执行漏洞的影响。可通过注入特别构建的序列化对象执行。并且,Synapse 发行版本中存在的 Apache Commons Collections 3.2.1 (commons-collections-3.2.1.jar) 或更早版本会使其可以利用。为缓解此问题,我们需要限制 RMI 的访问权限,仅允许受信任的用户访问。进一步升级至 3.0.1 版将消除上述 Commons Collection 版本的风险。在 Synapse 3.0.1 中,Commons Collection 已更新至 3.2.2 版。

请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

更新至 Apache Synapse 3.0.1 或更高版本。

另见

https://www.securityfocus.com/bid/102154

插件详情

严重性: Critical

ID: 142226

文件名: synapse_3_0_0.nasl

版本: 1.5

类型: local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2020/11/3

最近更新时间: 2024/10/7

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2017-15708

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:apache:synapse

必需的 KB 项: installed_sw/Apache Synapse

易利用性: No known exploits are available

补丁发布日期: 2017/12/7

漏洞发布日期: 2017/12/11

参考资料信息

CVE: CVE-2017-15708