发布日期：2014-04-16
更新日期：2014-04-17

受影响系统：

Apache Group Syncope 1.1.0-1.1.6
Apache Group Syncope 1.0.0-1.0.8

描述：

---

BUGTRAQ  ID: 66927
CVE(CAN) ID: CVE-2014-0111

Apache Syncope是用JEE技术实现的企业级开源数字身份管理系统，是在Apache 2.0证书下发行的。

Apache Syncope 1.0.0-1.0.8、Apache Syncope 1.1.0-1.1.6版本存在远程代码执行漏洞，经过身份验证的管理员可利用此漏洞执行远程代码。该漏洞源于在多种情况下（派生的架构定义、用户模板、资源映射账户链接）允许Apache Commons JEXL表达式，这可使恶意管理员注入Java代码，然后由运行Apache Syncope内核的JEE容器远程执行。

<*来源：Gr&#195;&#169;gory Draperi
  
  链接：http://seclists.org/bugtraq/2014/Apr/85
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://syncope.apache.org/security.html
http://svn.apache.org/viewvc?view=revision&revision=r1586349
http://svn.apache.org/viewvc?view=revision&revision=r1586317

浏览次数：2817
严重程度：0（网友投票）