发布日期：2023-07-26
更新日期：2023-09-11

受影响系统：

Apache Apache Helix < 1.3.0

描述：

---

CVE(CAN) ID: CVE-2023-38647

Apache Helix是美国阿帕奇（Apache）基金会的一个通用集群管理框架，用于自动管理托管在节点集群上的分区、复制和分布式资源。
Apache Helix 1.3.0之前版本存在远程代码执行漏洞，攻击者可利用该漏洞通过SnakeYAML对java.net.URLClassLoader进行反序列化，使其从指定的URL加载JAR，并随后对javax.script.ScriptEngineManager进行反序列化，使用该ClassLoader加载代码，这种不受限制的反序列化可能导致远程代码执行。

<**>

建议：

---

厂商补丁：

Apache
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://syncope.apache.org/security.html

浏览次数：258
严重程度：0（网友投票）