Описание
The default configuration of XSLTResourceStream.java is vulnerable to remote code execution via XSLT injection when processing input from an untrusted source without validation. Users are recommended to upgrade to versions 10.1.0, 9.18.0 or 8.16.0, which fix this issue.
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListVendor Advisory
- Mailing ListThird Party Advisory
- Mailing ListVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 8.0.0 (включая) до 8.16.0 (исключая)Версия от 9.0.0 (включая) до 9.18.0 (исключая)
Одно из
cpe:2.3:a:apache:wicket:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:wicket:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:wicket:10.0.0:milestone1:*:*:*:*:*:*
cpe:2.3:a:apache:wicket:10.0.0:milestone2:*:*:*:*:*:*
EPSS
Процентиль: 92%
0.08266
Низкий
9.8 Critical
CVSS3
Дефекты
CWE-74
Связанные уязвимости
CVSS3: 9.8
fstec
больше 1 года назад
Уязвимость фреймворка для создания веб-приложений на языке Java Apache Wicket, связанная с неверным управлением генерацией кода, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, выполнить произвольный код и получить полный контроль над приложением
EPSS
Процентиль: 92%
0.08266
Низкий
9.8 Critical
CVSS3
Дефекты
CWE-74