阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
应用程序
CVE-2014-1972
Apache Tapestry拒绝服务漏洞
CVE编号
CVE-2014-1972
利用情况
暂无
补丁情况
N/A
披露时间
2015-08-23
漏洞描述
Apache Tapestry是美国阿帕奇(Apache)软件基金会所研发的一套用来创建基于Java的Web应用程序框架。
Apache Tapestry 5.3.6之前版本中存在安全漏洞,该漏洞源于程序在客户端存储对象时未能检查对象是否被篡改。远程攻击者可借助特制的序列化数据利用该漏洞造成拒绝服务(资源消耗),或执行任意代码。
解决建议
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://tapestry.apache.org/release-notes-536.html
参考链接
http://jvn.jp/en/jp/JVN17611367/index.html
http://jvndb.jvn.jp/jvndb/JVNDB-2015-000118
http://seclists.org/fulldisclosure/2019/Aug/20
http://www.openwall.com/lists/oss-security/2019/08/23/5
https://issues.apache.org/jira/browse/TAP5-2008
https://lists.apache.org/thread.html/84e99dedad2ecb4676de93c3ab73a8a10882951a...
https://lists.apache.org/thread.html/bac8d6f9e1b4059b319d9cba6f33219a99b81623...
https://lists.apache.org/thread.html/r7d9c54beb1dc97dcccc58d9b5d31f0f7166f9a2...
https://lists.apache.org/thread.html/r87523dd07886223aa086edc25fe9b8ddb9c1090...
https://tapestry.apache.org/release-notes-536.html
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
apache
tapestry
*
Up to
(including)
5.3.5
CVSS3评分
7.8
攻击路径
网络
攻击复杂度
低
权限要求
无
影响范围
N/A
用户交互
无
可用性
完全地
保密性
无
完整性
无
CWE-ID
漏洞类型
CWE-399
资源管理错误
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×