Apache Jackrabbit遠(yuǎn)程代碼執(zhí)行漏洞，漏洞編號：CVE-2023-37895，漏洞威脅等級：高危。

由于使用的commons-beanutils組件中存在一個可通過RMI遠(yuǎn)程執(zhí)行代碼的類，可通過構(gòu)造惡意序列化數(shù)據(jù)，并發(fā)送到目標(biāo)系統(tǒng)上的RMI服務(wù)端口（默認(rèn)為1099端口）或發(fā)送到RMI-over-HTTP路徑（默認(rèn)使用路徑“/rmi”），當(dāng)目標(biāo)系統(tǒng)反序列化該數(shù)據(jù)時可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

Apache Jackrabbit是一個強(qiáng)大的開源內(nèi)容存儲庫，實(shí)現(xiàn)了Java的內(nèi)容存儲庫規(guī)范（JSR-170和JSR-283）。

（一）漏洞影響范圍：

2.21.0≤Apache Jackrabbit Webapp (jackrabbit-webapp)

<2.21.18

1.0.0≤Apache Jackrabbit Webapp (jackrabbit-webapp)

<2.20.11

2.21.0≤Apache Jackrabbit Standalone (jackrabbit-stand

alone and jackrabbit-standalone-components)<2.21.18

1.0.0≤Apache Jackrabbit Standalone (jackrabbit-standa

lone and jackrabbit-standalone-components)<2.20.11

（二）漏洞修復(fù)建議：

一是如果啟用RMI，未修復(fù)的組件很容易受到RCE攻擊，可以通過關(guān)閉RMI支持來緩解該漏洞；

二是通過WAF監(jiān)測外網(wǎng)對Jackrabbit webapp/standalone中RMI特殊接口API路徑的訪問；

三是加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的訪問控制，修改防火墻策略，關(guān)閉非必要的應(yīng)用端口或服務(wù)，減少將危險(xiǎn)服務(wù)（如SSH、RDP等）暴露到公網(wǎng)，減少攻擊面；

四是請檢查localhost:8080/rmi上的HTTP GET請求是否返回404（未啟用）或200（啟用）；

五是建議受影響的用戶及時升級到最新版本：https://jackrabbit.apache.org/jcr/downloads.html#apache-jackrabbit-2-21-18-july-24th-2023。