近日，国家信息安全漏洞共享平台（CNVD）收录了Apache Jetspeed用户管理REST API未授权访问漏洞（CNVD-2016-01500、CVE-2016-0710 ）和Apache Jetspeed目录穿越漏洞（CNVD-2016-01499、CVE-2016-0709 ）。远程攻击者可利用漏洞通过调用REST API来管理系统用户，并在拥有管理员权限账号的情况下，上传任意文件，进而导致远程命令执行。

一、漏洞情况分析

Jetspeed是基于Java和XML的开源企业信息门户的实现。Jetspeed可集成各种数据源，通过XSL技术将数据组织成Jsp页面或Html页面传给客户端，并支持模板和内容的发布框架。

Jetspeed用户管理REST API存在未授权访问漏洞。攻击者可构造用户管理REST API创建用户并提升为管理员，从而获得管理员权限，执行创建、编辑、删除、提权等操作。

Jetspeed后台Portal Site Manger在处理import ZIP文件时存在目录穿越的漏洞。攻击者利用这两个漏洞可在拥有管理员权限的情况上传任意文件，例如通过管理员账号在后台Portal Site Manger处import恶意构造的ZIP文件，ZIP 压缩文件中包含名称为../../webapps/de.jsp的文件，在后台处理上传时会拼接此文件名导致目录穿越，控制文件上传路径，进而导致远程命令执行。

CNVD对上述漏洞的综合评级均为“高危”。

二、漏洞影响范围

上述漏洞分别影响Jetspeed2.3.0版本和Jetspeed2.3.0、2.2.0-2.2.2版本。

三、漏洞修复建议

目前，厂商已发布了漏洞解决方案，可将程序升级至2.3.1版本。CNVD建议相关用户及时下载更新，避免引发漏洞相关的网络安全事件。http://tomcat.apache.org/security.html

附：参考链接：

https://portals.apache.org/jetspeed-2/security-reports.html#CVE-2016-0710

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01499

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01500