一、漏洞详情
Apache Wicket是一个开源的Java Web应用程序框架,具有面向组件的开发模型。
近日,监测到Apache Wicket中修复了一个远程代码执行漏洞(CVE-2024-36522)。在未经适当验证的情况下处理来自不可信来源的输入时,Apache Wicket的wicket-core软件包中XSLTResourceStream.java的默认配置容易受到XSLT注入攻击,远程威胁者可利用该漏洞注入恶意XSLT代码,从而可能导致在服务器端执行任意代码。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache Wicket 10.0.0-M1 - 10.0.0
Apache Wicket 9.0.0 - 9.17.0
Apache Wicket 8.0.0 - 8.15.0
三、修复建议
目前该漏洞已经修复,受影响用户可升级到Apache Wicket 10.1.0、9.18.0、8.16.0或更高版本。
