Sicherheitswarnung: XSLT Injection in Apache Wicket gefunden
Am 1. Juni 2024 veröffentlichte das Apache Wicket PMC Apache Wicket 9.18.0 und 10.1.0. Die neueste Version behebt die kritische Sicherheitslücke CVE-2024-36522 welche Remote Code Execution über XSLT Injection ermöglicht.
Apache Wicket ist ein weit verbreitetes Open-Source-Java-Webanwendungsframework und wird vor allem in Behördensoftware wie Fachverfahren eingesetzt.
Diese Sicherheitslücke könnte Angreifern potenziell die Ausführung beliebigen Codes aus der Ferne ermöglichen und stellt somit ein erhebliches Risiko für Anwendungen dar, die mit Apache Wicket erstellt wurden.
Allen Administratoren von Apache Wicket Anwendungen wird dringend empfohlen, auf die neuste zu aktualisieren, um das Risiko einer Ausnutzung zu minimieren.