Tapestry
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.94089
Распределение по критичности
Критический
5
Высокий
5
Средний
1
Низкий
0
Затронутые диапазоны версий
3.0.0–4.0.04.0.0–5.0.15.4.0–5.4.35.4.0–5.4.45.4.0–5.6.25.4.0–5.6.4< 5.8.2≤ 5.3.5
Также сопоставлено как (исходные строки): tapestry
Топ уязвимостей
CVE-2021-27850Критическая уязвимость удаленного выполнения кода без аутентификации была обнаружена во всех последних версиях Apache Tapestry. Уязвимые версии включают 5.4.5, 5.5.0, 5.6.2 и 5.7.0. Обнаруженная мной уязвимость является обходом исправления для CVE-2019-0195. Краткое изложение: До исправления CVE-2019-0195 можно было загружать произвольные файлы классов из classpath, предоставив специально созданный URL-адрес файла ресурса. Злоумышленник мог загрузить файл `AppModule.class`, запросив URL-адрес `http://localhost:8080/assets/something/services/AppModule.class`, который содержит секретный ключ HMAC. Исправлением этой ошибки был фильтр черного списка, который проверяет, заканчивается ли URL-адрес на `.class`, `.properties` или `.xml`. Обход: К сожалению, решение с черным списком можно просто обойти, добавив `/` в конце URL-адреса: `http://localhost:8080/assets/something/services/AppModule.class/`. Слэш удаляется после проверки черного списка, и файл `AppModule.class` загружается в ответ. Этот класс обычно содержит секретный ключ HMAC, который используется для подписи сериализованных Java-объектов. Зная этот ключ, злоумышленник может подписать цепочку Java-гаджетов, которая ведет к RCE (например, CommonsBeanUtils1 из ysoserial). Решение для этой уязвимости: * Для Apache Tapestry с 5.4.0 по 5.6.1 обновитесь до 5.6.2 или более поздней версии. * Для Apache Tapestry 5.7.0 обновитесь до 5.7.1 или более поздней версии.
CVE-2020-17531В Apache Tapestry 4 обнаружена уязвимость Java Serialization. Apache Tapestry 4 попытается десериализовать параметр "sp" еще до вызова метода validate страницы, что приведет к десериализации без аутентификации. Apache Tapestry 4 достиг конца жизненного цикла в 2008 году, и обновление для решения этой проблемы не будет выпущено. Apache Tapestry 5 не подвержены этой проблеме. Пользователям Apache Tapestry 4 следует обновиться до последней версии Apache Tapestry 5.
CVE-2019-10071Код, который проверяет HMAC в отправленных формах, использовал String.equals() для сравнений, что приводит к побочному каналу времени для сравнения подписей HMAC. Это может привести к удаленному выполнению кода, если злоумышленник сможет определить правильную подпись для своей полезной нагрузки. Сравнение должно быть выполнено с использованием алгоритма постоянного времени.
CVE-2019-0195Манипулируя URL-адресами файлов ресурсов classpath, злоумышленник может угадать путь к известному файлу в classpath и загрузить его. Если злоумышленник найдет файл со значением символа конфигурации tapestry.hmac-passphrase, скорее всего, класс AppModule веб-приложения, значение этого символа можно использовать для создания атаки десериализации Java, таким образом, запуская вредоносный внедренный код Java. Вектором будет параметр t:formdata из компонента Form.
BDU:2020-00081Уязвимость функции String.equals() программной платформы для создания веб-приложений Apache Tapestry существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2014-1972Apache Tapestry версий до 5.3.6 полагается на хранение объектов на стороне клиента, не проверяя, изменил ли клиент объект, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ресурсов) или выполнять произвольный код через специально созданные сериализованные данные.
CVE-2022-46366Apache Tapestry 3.x позволяет десериализацию ненадежных данных, что приводит к удаленному выполнению кода. Эта проблема аналогична CVE-2020-17531, но отличается от нее, которая относится к (также неподдерживаемой) линейке версий 4.x. ПРИМЕЧАНИЕ. Эта уязвимость затрагивает только линейку версий Apache Tapestry 3.x, которая больше не поддерживается разработчиком. Пользователям рекомендуется обновиться до поддерживаемой линейки версий Apache Tapestry.
CVE-2022-31781Apache Tapestry до версии 5.8.1 уязвим для Regular Expression Denial of Service (ReDoS) в способе обработки типов контента. Специально созданные типы контента могут вызвать катастрофическое возвращение, требующее экспоненциального времени для завершения. В частности, речь идет о регулярном выражении, используемом в параметре класса org.apache.tapestry5.http.ContentType. Apache Tapestry 5.8.2 содержит исправление для этой уязвимости. Обратите внимание, что уязвимость не может быть вызвана веб-запросами только в коде Tapestry. Это произойдет только в том случае, если есть какой-то не-Tapestry codepath, передающий какой-то внешний ввод в конструктор класса ContentType.
CVE-2021-30638Information Exposure vulnerability in context asset handling of Apache Tapestry allows an attacker to download files inside WEB-INF if using a specially-constructed URL. This was caused by an incomplete fix for CVE-2020-13953. This issue affects Apache Tapestry Apache Tapestry 5.4.0 version to Apache Tapestry 5.6.3; Apache Tapestry 5.7.0 version and Apache Tapestry 5.7.1.
CVE-2019-0207Tapestry обрабатывает ресурсы `/assets/ctx` с использованием цепочки классов `StaticFilesFilter -> AssetDispatcher -> ContextResource`, которая не фильтрует символ `\`, поэтому злоумышленник может выполнить атаку с обходом пути для чтения любых файлов на платформе Windows.
CVE-2020-13953В Apache Tapestry с 5.4.0 по 5.5.0, создавая определенные URL-адреса, злоумышленник может загружать файлы внутри папки WEB-INF запускаемого WAR.