Apache Jackrabbit远程代码执行漏洞，漏洞编号：CVE-2023-37895，漏洞威胁等级：高危。

由于使用的commons-beanutils组件中存在一个可通过RMI远程执行代码的类，可通过构造恶意序列化数据，并发送到目标系统上的RMI服务端口（默认为1099端口）或发送到RMI-over-HTTP路径（默认使用路径“/rmi”），当目标系统反序列化该数据时可能导致远程代码执行。

Apache Jackrabbit是一个强大的开源内容存储库，实现了Java的内容存储库规范（JSR-170和JSR-283）。

（一）漏洞影响范围：

2.21.0≤Apache Jackrabbit Webapp (jackrabbit-webapp)

<2.21.18

1.0.0≤Apache Jackrabbit Webapp (jackrabbit-webapp)

<2.20.11

2.21.0≤Apache Jackrabbit Standalone (jackrabbit-stand

alone and jackrabbit-standalone-components)<2.21.18

1.0.0≤Apache Jackrabbit Standalone (jackrabbit-standa

lone and jackrabbit-standalone-components)<2.20.11

（二）漏洞修复建议：

一是如果启用RMI，未修复的组件很容易受到RCE攻击，可以通过关闭RMI支持来缓解该漏洞；

二是通过WAF监测外网对Jackrabbit webapp/standalone中RMI特殊接口API路径的访问；

三是加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面；

四是请检查localhost:8080/rmi上的HTTP GET请求是否返回404（未启用）或200（启用）；

五是建议受影响的用户及时升级到最新版本：https://jackrabbit.apache.org/jcr/downloads.html#apache-jackrabbit-2-21-18-july-24th-2023。