警惕！Apache JSPWiki 多個安全漏洞

0x01 漏洞描述

Apache JSPWiki 是領先的開源 WikiWiki 引擎，功能豐富，圍繞標準 JEE 組件（Java、servlet、JSP）構建。

2021年11月25日，360漏洞云團隊監測到Apache發布安全公告，修復了兩個存在于Apache JSPWiki中的漏洞。其中，1個嚴重漏洞，1個中危漏洞，漏洞詳情如下：

 CVE-2021-40369

漏洞等級：中危

漏洞類型：XSS漏洞 

漏洞描述：一個精心設計的插件鏈接調用可能會引發在Apache了JSPWiki XSS漏洞，涉及到Denounce插件，這可能允許攻擊者在受害者的瀏覽器上執行JavaScript和獲取有關被害人的一些敏感信息

 CVE-2021-44140

漏洞等級：嚴重

漏洞類型：任意文件刪除

漏洞描述：遠程攻擊者可以通過在注銷時使用精心設計的 http 請求刪除托管 JSPWiki 實例的系統中的任意文件，前提是運行 JSPWiki 實例的用戶可以訪問這些文件。

0x02 危害等級

嚴重

0x03 影響版本

Apache JSPWiki <2.11.0.M8

0x04 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本。

Apache JSPWiki  2.11.0 或更高版本。

與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。