Apache Synapse Apache Commons Collections 注入漏洞

CNNVD-ID编号	CNNVD-201710-1018
CVE编号	CVE-2017-15708
发布时间	2017-10-23
更新时间	2021-02-22
漏洞类型	注入
漏洞来源	N/A
危险等级	超危
威胁类型	远程
厂商	apache

漏洞介绍

Apache Synapse是美国阿帕奇（Apache）软件基金会的一款轻量级ESB（企业服务总线）。Apache Commons Collections是使用在其中的一个提供了Java集合框架的库。

Apache Synapse中的Apache Commons Collections 3.2.1(commons-collections-3.2.1.jar)及之前的版本中存在远程代码执行漏洞。远程攻击者可通过注入特制的序列化对象利用该漏洞执行代码。以下版本受到影响：Apache Synapse 3.0.0版本，2.1.0版本，2.0.0版本，1.2版本，1.1.2版本，1.1.1版本。

漏洞补丁

目前厂商已发布升级了Apache Synapse Apache Commons Collections 注入漏洞的补丁，Apache Synapse Apache Commons Collections 注入漏洞的补丁获取链接：

https://lists.apache.org/thread.html/77f2accf240d25d91b47033e2f8ebec84ffbc6e6627112b2f98b66c9@%3Cdev.synapse.apache.org%3E

参考网址

来源:MLIST

链接：https://lists.apache.org/thread.html/77f2accf240d25d91b47033e2f8ebec84ffbc6e6627112b2f98b66c9@%3Cdev.synapse.apache.org%3E
来源:BID

链接：https://www.securityfocus.com/bid/102154
来源:www.oracle.com

链接：https://www.oracle.com/security-alerts/cpujan2020.html
来源:MISC

链接：https://www.oracle.com/security-alerts/cpujul2020.html
来源:www.ibm.com

链接：https://www.ibm.com/support/docview.wss?uid=ibm10967469
来源:www.ibm.com

链接：https://www.ibm.com/blogs/psirt/security-bulletin-multiple-vulnerabilities-identified-in-ibm-storediq/
来源:www.oracle.com

链接：https://www.oracle.com/security-alerts/cpujul2020.html
来源:www.ibm.com

链接：https://www.ibm.com/blogs/psirt/security-bulletin-multiple-vulnerability-issues-affect-ibm-spectrum-symphony-7-3-1/
来源:www.ibm.com

链接：http://www.ibm.com/support/docview.wss?uid=ibm10958165
来源:www.oracle.com

链接：https://www.oracle.com/security-alerts/cpujan2020verbose.html

受影响实体

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201710-1018