Apache Groovy信息泄露漏洞

CVE编号

CVE-2020-17521

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-12-08

漏洞描述

Apache Groovy是美国阿帕奇（Apache）基金会的一款基于Java平台的面向对象编程语言。 Apache Groovy 2.4.4至2.4.20版本、2.5.0至2.5.13版本、3.0.0至3.0.6版本和4.0.0-alpha-1版本存在信息泄露漏洞。攻击者可利用该漏洞导致敏感信息泄露。
受影响系统： Apache Groovy 4.0.0-alpha-1 Apache Groovy 3.0.0<= Version <=3.0.6 Apache Groovy 2.5.0<= Version <= 2.5.13 Apache Groovy 2.4.4<= Version <=2.4.20

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://issues.apache.org/jira/browse/GROOVY-9824?page=com.atlassian.jira.plugin.system.issuetabpanels%3Aall-tabpanel

参考链接
https://groovy-lang.org/security.html#CVE-2020-17521
https://lists.apache.org/thread.html/r4b2f13c302eec98838ff7475253091fb9b75bc1...
https://lists.apache.org/thread.html/ra9dab34bf8625511f23692ad0fcee2725f782e9...
https://lists.apache.org/thread.html/rea63a4666ba245d2892471307772a2d8ce0f074...
https://security.netapp.com/advisory/ntap-20201218-0006/
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujan2022.html
https://www.oracle.com/security-alerts/cpuoct2021.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	groovy	*	From (including) 2.0.0	Up to (including) 2.4.20
	运行在以下环境
	应用	apache	groovy	*	From (including) 2.5.0	Up to (including) 2.5.13
	运行在以下环境
	应用	apache	groovy	*	From (including) 3.0.0	Up to (including) 3.0.6
	运行在以下环境
	应用	apache	groovy	4.0.0	-
	运行在以下环境
	系统	debian_10	groovy	*		Up to (excluding) 2.4.16-2
	运行在以下环境
	系统	debian_11	groovy	*		Up to (excluding) 2.4.20-1
	运行在以下环境
	系统	debian_9	groovy	*		Up to (excluding) 2.4.8-1
	运行在以下环境
	系统	debian_sid	groovy	*		Up to (excluding) 2.4.20-1
	运行在以下环境
	系统	opensuse_Leap_15.2	groovy	*		Up to (excluding) 2.4.21-lp152.2.3.2
查看完整数据

阿里云评分 3.8

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 NVD-CWE-Other