警惕！Apache JSPWiki 多个安全漏洞

0x01 漏洞描述

Apache JSPWiki 是领先的开源 WikiWiki 引擎，功能丰富，围绕标准 JEE 组件（Java、servlet、JSP）构建。

2021年11月25日，360漏洞云团队监测到Apache发布安全公告，修复了两个存在于Apache JSPWiki中的漏洞。其中，1个严重漏洞，1个中危漏洞，漏洞详情如下：

 CVE-2021-40369

漏洞等级：中危

漏洞类型：XSS漏洞 

漏洞描述：一个精心设计的插件链接调用可能会引发在Apache了JSPWiki XSS漏洞，涉及到Denounce插件，这可能允许攻击者在受害者的浏览器上执行JavaScript和获取有关被害人的一些敏感信息

 CVE-2021-44140

漏洞等级：严重

漏洞类型：任意文件删除

漏洞描述：远程攻击者可以通过在注销时使用精心设计的 http 请求删除托管 JSPWiki 实例的系统中的任意文件，前提是运行 JSPWiki 实例的用户可以访问这些文件。

0x02 危害等级

严重

0x03 影响版本

Apache JSPWiki <2.11.0.M8

0x04 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本。

Apache JSPWiki  2.11.0 或更高版本。

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。