apache nutch 外部实体注入漏洞
- cnnvd编号:未知
- 危害等级: 高危
- cve编号:cve-2021-23901
- 漏洞类型: 外部实体注入
- 威胁类型:远程
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-01-28
- 更新时间:2021-01-28
漏洞简介
1、组件介绍
apache nutch是一个用java编写的开源网络爬虫。通过它,可以自动地找到网页中的超链接,从而极大地减轻了维护工作的负担,例如检查那些已经断开了的链接,或是对所有已经访问过的网页创建一个副本以便用于搜索。
2、漏洞描述
近日,深信服安全团队监测到一则apache nutch组件存在 xxe外部实体注入漏洞的信息,漏洞编号:cve-2021-23901,漏洞危害:中危。该漏洞是由于org.apache.nutch.tools.dmozparser类未对传入的数据严格过滤,攻击者可利用该漏洞构造恶意数据执行xxe攻击,最终查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。
漏洞公示
搭建apache nutch组件1.17版本环境,复现该漏洞,效果如下:
参考网站
暂无
受影响实体
apache nutch 作为一个开源java实现的搜索引擎,它提供了我们运行自己的搜索引擎所需的全部工具,包括全文搜索和web爬虫,在全球有大量使用,可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中,浙江、北京、广东等省市占比接近 70%。
目前受影响的apache nutch 版本:
apache nutch <= 1.17
补丁
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
