漏洞标题
Apache Wicket:通过XSLT注入实现远程代码执行
漏洞描述信息
XSLTResourceStream.java的默认配置在处理来自不可信源的输入且未进行验证时,通过XSLT注入存在远程代码执行的安全漏洞。
建议用户升级到10.1.0、9.18.0或8.16.0版本,这些版本修复了此问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
漏洞标题
Apache Wicket: Remote code execution via XSLT injection
漏洞描述信息
The default configuration of XSLTResourceStream.java is vulnerable to remote code execution via XSLT injection when processing input from an untrusted source without validation.
Users are recommended to upgrade to versions 10.1.0, 9.18.0 or 8.16.0, which fix this issue.
CVSS信息
N/A
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
漏洞标题
Apache Wicket 注入漏洞
漏洞描述信息
Apache Wicket是美国阿帕奇(Apache)基金会的一套开源、轻量、基于组件的框架,它提供了一种面向对象的方式来开发基于Web的动态UI应用程序。 Apache Wicket 存在注入漏洞,该漏洞源于在未经验证处理来自不受信任来源的输入时,XSLTResourceStream.java的默认配置容易受到通过XSLT注入远程代码执行的攻击。
CVSS信息
N/A
漏洞类别
注入