Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198

Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)


发布日期:2019-05-25
更新日期:2019-05-31

受影响系统:描述:


BUGTRAQ  ID: 108496
CVE(CAN) ID: CVE-2018-17198

Apache Roller是美国阿帕奇(Apache)软件基金会的一套功能丰富的多用户博客平台。XML-RPC protocol support是其中的一个XML-RPC传输协议支持组件。
Apache Roller依靠Java SAX Parser来实现其XML-RPC接口。默认情况下,解析器支持XML DOCTYPE中的外部实体,导致服务器侧请求伪造(SSRF)/文件枚举(File Enumeration)漏洞。请注意,即使Roller XML-RPC接口被禁用,Roller web admin UI也存在漏洞。

<*来源:Arseniy Sharoglazov
 
  链接:https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev
*>

建议:


厂商补丁:

Apache Group
------------
Apache Group已经为此发布了一个安全公告(CVE-2018-17198)以及相应补丁:
CVE-2018-17198:Server-side Request Forgery (SSRF) and File Enumeration vulnerability in Apache Roller
链接:https://lists.apache.org/thread.html/94a36ed9c6241558b1c6181d8dd4ff263be7903abd1d20067d4330d5@%3Cdev

补丁下载:

相关推荐