CVE-2020-13956|Apache HttpClient 输入验证错误漏洞

2020-10-09 11:33:20
该漏洞使远程攻击者可以破坏受影响的应用程序,远程未经身份验证的攻击者可以通过Internet利用此漏洞。

漏洞描述:

该漏洞使远程攻击者可以破坏受影响的应用程序,远程未经身份验证的攻击者可以通过Internet利用此漏洞。

 

该漏洞是由于对Apache HttpClient中用户提供的输入的验证不足而导致的。远程攻击者可以将请求URI作为java.net.URI对象传递给库,并强制应用程序选择错误的目标主机以执行请求。



Apache是Apache软件基金会的一个开放源码的网页服务器软件,可以在大多数电脑操作系统中运行。由于其跨平台和安全性,被广泛使用,是最流行的Web服务器软件之一。


 

漏洞编号:

CVE-2020-13956

 

漏洞等级:中等

 

受影响的版本:

Apache HttpComponents:4.0.x、4.1.x、4.2.x、4.3.x、4.4.x、4.5.x-4.5.12、5.0、5.0.1、5.0.2

 

已修复的版本:

4.5.13

5.0.3

 

建议升级到版本4.5.13或5.0.3并清理请求,使用java.net.URI作为输入时的URI。

 

参考链接:

https://www.cybersecurity-help.cz/vdb/SB2020100902

https://seclists.org/oss-sec/2020/q4/34

最新资讯