一、漏洞詳情

Apache Tapestry是美國阿帕奇（Apache）基金會的一款使用Java語言編寫的Web應(yīng)用程序框架。

Apache Tapestry 4版本存在反序列化漏洞，該漏洞源于在調(diào)用頁面的驗證方法之前嘗試反序列化“sp”參數(shù)，攻擊者可利用該漏洞導(dǎo)致未經(jīng)身份驗證的反序列化。

建議受影響用戶及時更新漏洞補丁進行防護，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

Apache Tapestry 4

三、修復(fù)建議

廠商已發(fā)布了漏洞修復(fù)程序，請及時關(guān)注更新：https://lists.apache.org/thread.html/r700a6aa234dbff0555d4187bdc8274d7e4c0afbf35b9a3457f09ee76@%3Cusers.tapestry.apache.org%3E