ApacheWicket磁盘应用Java去子化远程文件操作

阿帕切威奎开源面向服务器端Java网络应用框架Wicket网站表示当前发布为7.3.0继续提供6.23.0和1.5.14.

问题

Wicket6.x包含实现ava类调用磁盘文件项...近似公共上传TRA2016-12.唯一真正不同之处在于公共文件上传版本更新解决像问题CVE-2013-2186Wicket版本没有的地方幸运的是,大多数JVM(if not all)会捕捉到攻击,因此不再需要像公共文件加载那样明确检查有趣的是磁盘文件项于2014年从7x分支清除WICKET-5503门票显示99fcd91.开发者正确识别常见文件Up加载安全更新太难(因为他们已经错过磁盘FileItem更新)

可用于消毒攻击

Of course!快速证明概念, 房客创建新有效载荷轮廓学几乎完全拷贝/粘贴作业文件Upload1有效载荷使用维基特图尔.允许攻击者添加、移动和删除Apache磁盘文件此外,如果老JavaVM运行,攻击者也可以控制文件名,因为NULL字节检查并不存在以备命名自定义文件可远程代码执行

注意CVSSv2评分下调这一问题的严重性,因为评分系统学术性质最坏案例假想,可借机实现远程代码执行,在某些情况下通过数项行动实现远程代码执行

---

2016-11-25时,Wicket团队再次联系我们并说,他们在我们原创报告漏漏漏了一个要点: "保护无字节攻击.Pedro Santos从Wicket团队深入调查此事并投入更多修复和写作并分配CVE2016-6793使用不久将通过Wicket页面发布更多细节