Apache Syncope特制Commons JEXL表达式远程代码执行漏洞

2014-04-17T00:00:00
ID SSV:62214
Type seebug
Reporter Root
Modified 2014-04-17T00:00:00

Description

CVE ID:CVE-2014-0111

Apache Syncope是用在企业环境的数字身份管理,在JEE技术的实施和Apache 2.0许可下发布的开源系统。

Apache Syncope处理特制的Apache Commons JEXL表达式存在安全漏洞,允许通过验证的远程攻击者通过运行Apache Syncope core的JEE container来执行任意代码。 0 Apache Syncope 1.0.0 Apache Syncope 1.0.8 Apache Syncope 1.1.0 Apache Syncope 1.1.6 Apache Syncope 1.0.9, 1.1.7版本已修复该漏洞,建议用户下载使用: http://syncope.apache.org/