关于Apache Sling App CMS跨站脚本漏洞

2022-11-0410

一、背景介绍

近日,市委网信办技术支撑单位监测到Apache Sling CMS发布了安全通告,修复了一个安全漏洞。漏洞编号为 CVE-2022-43670。

1.1 漏洞描述

Apache Sling CMS是一个在Apache Sling中构建的功能齐全的内容管理系统的参考实现。这个应用程序展示了多个Apache Sling特性。Sling App CMS 1.1.0 版及以前的版本中存在一个跨站脚本漏洞,可能允许经过身份验证的远程攻击者在分类管理功能中进行反射式跨站脚本(XSS)攻击。

1.2 漏洞编号

CVE-2022-43670


二、修复建议

2.1 受影响版本

Apache Sling App CMS <= 1.1.0

2.2 修复建议

目前官方已正式发布修复版本,建议受影响用户尽快升级至安全版本。

可从地址中下载升级:

https://github.com/apache/sling-org-apache-sling-app-cms/releases/tag/org.apache.sling.cms-1.1.2