Описание
Уязвимость фреймворка для создания веб-приложений на языке Java Apache Wicket связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, выполнить произвольный код и получить полный контроль над приложением
Вендор
Apache Software Foundation
Наименование ПО
Wicket
Версия ПО
до 9.18.0 (Wicket)
10.0.0 (Wicket)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://wicket.apache.org/start/wicket-9.x.html#manually
https://archive.apache.org/dist/wicket/9.18.0/
https://github.com/apache/wicket/releases/tag/rel%2Fwicket-9.18.0
https://wicket.apache.org/start/wicket-10.x.html#download
https://github.com/apache/wicket/releases/tag/rel%2Fwicket-10.1.0
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 92%
0.08266
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
больше 1 года назад
The default configuration of XSLTResourceStream.java is vulnerable to remote code execution via XSLT injection when processing input from an untrusted source without validation. Users are recommended to upgrade to versions 10.1.0, 9.18.0 or 8.16.0, which fix this issue.
EPSS
Процентиль: 92%
0.08266
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2