发布日期：2023-11-07
更新日期：2024-03-01

受影响系统：

Apache Apache Allura >= 1.0.1
Apache Apache Allura < 1.16.0

描述：

---

CVE(CAN) ID: CVE-2023-46851

Apache Allura是美国阿帕奇（Apache）基金会的一套开源项目托管平台，支持管理源代码存储库、错误报告、维基页面和博客等。
Apache Allura 1.0.1至1.16.0之前版本存在输入验证错误漏洞，该漏洞源于程序未正确限制附件中的URL值，攻击者可利用该漏洞读取并泄露本地文件，进而进行会话劫持或远程代码执行。

<*链接：https://allura.apache.org/posts/2023-allura-1.16.0.html
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（2023-allura-1.16.0）以及相应补丁:
2023-allura-1.16.0：APACHE ALLURA 1.16.0 RELEASED WITH CRITICAL SECURITY FIX
链接：https://allura.apache.org/posts/2023-allura-1.16.0.html

浏览次数：841
严重程度：0（网友投票）