一、Apache Tika XML 外部实体注入风险
Apache Tika 是一个开源的内容分析工具,广泛应用于数据挖掘、搜索引擎和内容管理系统等领域。
1. 风险内容
该漏洞影响 Apache Tika 核心模块、Tika 解析器模块和 Tika PDF 解析模块。攻击者可以通过在 PDF 文件中嵌入精心构造的 XFA 文件,利用该漏洞执行恶意的外部实体调用,从而造成信息泄露或远程代码执行等严重安全风险。该漏洞的严重性在于,它能够通过恶意的 XML 文件触发外部实体注入,可能导致敏感数据泄露或系统被远程控制,给用户和系统带来重大的安全威胁。
2. 影响范围
1.13 <= Apache Tika core (org.apache.tika:tika-core) <= 3.2.1 1.13 <= Apache Tika parsers (org.apache.tika:tika-parsers)< 2.0.0
2.0.0 <= Apache Tika PDF parser module (org.apache.tika:tika-parser-pdf-module) <= 3.2.1
3. 修复建议
联系信息中心获取版本更新链接。
二、XWiki Details Summary 宏远程代码执行风险
XWiki 是一个开源的企业级知识管理和协作平台,允许用户创建、管理和共享内容,广泛应用于企业、组织和开发者社区。
1. 风险内容
该漏洞源于 Confluence 的 Details Summary 宏的实现问题,宏在执行 Velocity 脚本时未进行适当的权限检查,导致未授权的用户能够通过构造特定页面内容,触发远程代码执行。攻击者可以通过创建一个包含 Groovy 代码的异步宏的详情宏页面,随后由管理员将该页面通过 Details Summary 宏包含到其他页面中,从而执行恶意代码。该漏洞可导致攻击者在没有编程权限的情况下,通过构造特定页面内容进行恶意操作,从而在系统中执行未经授权的代码,进而危害系统安全。
2. 影响范围
xwiki-pro-macros <= 1.27.0
3. 修复建议
联系信息中心获取版本更新链接。
三、Windows Vim 路径劫持漏洞导致远程代码执行风险
Vim 是一款强大的文本编辑器,广泛用于程序开发和系统管理。
1. 风险内容
Vim 在执行外部命令时(如:grep 使用 Windows 的 findstr.exe)会优先搜索当前工作目录,而不是系统路径。这使得攻击者能够在项目目录中放置伪装成合法可执行文件的恶意文件(例如findstr.exe)。当用户在 Vim 中执行诸如:grep 或其他外部命令时,Vim 可能无意中执行这些恶意文件,导致远程命令执行。
2. 影响范围
Vim(Windows) < v9.1.1947
3. 修复建议
联系信息中心获取版本更新链接。
