Apache Jackrabbit遠程代碼執行漏洞，漏洞編號：CVE-2023-37895，漏洞威脅等級：高危。

由于使用的commons-beanutils組件中存在一個可通過RMI遠程執行代碼的類，可通過構造惡意序列化數據，并發送到目標系統上的RMI服務端口（默認為1099端口）或發送到RMI-over-HTTP路徑（默認使用路徑“/rmi”），當目標系統反序列化該數據時可能導致遠程代碼執行。

Apache Jackrabbit是一個強大的開源內容存儲庫，實現了Java的內容存儲庫規范（JSR-170和JSR-283）。

（一）漏洞影響范圍：

2.21.0≤Apache Jackrabbit Webapp (jackrabbit-webapp)

<2.21.18

1.0.0≤Apache Jackrabbit Webapp (jackrabbit-webapp)

<2.20.11

2.21.0≤Apache Jackrabbit Standalone (jackrabbit-stand

alone and jackrabbit-standalone-components)<2.21.18

1.0.0≤Apache Jackrabbit Standalone (jackrabbit-standa

lone and jackrabbit-standalone-components)<2.20.11

（二）漏洞修復建議：

一是如果啟用RMI，未修復的組件很容易受到RCE攻擊，可以通過關閉RMI支持來緩解該漏洞；

二是通過WAF監測外網對Jackrabbit webapp/standalone中RMI特殊接口API路徑的訪問；

三是加強系統和網絡的訪問控制，修改防火墻策略，關閉非必要的應用端口或服務，減少將危險服務（如SSH、RDP等）暴露到公網，減少攻擊面；

四是請檢查localhost:8080/rmi上的HTTP GET請求是否返回404（未啟用）或200（啟用）；

五是建議受影響的用戶及時升級到最新版本：https://jackrabbit.apache.org/jcr/downloads.html#apache-jackrabbit-2-21-18-july-24th-2023。