CVE-2023-26119 — HtmlUnit Code Injection vulnerability

描述

Versions of the package `net.sourceforge.htmlunit:htmlunit` from 0 and before 3.0.0 are vulnerable to Remote Code Execution (RCE) via XSTL, when browsing the attacker’s webpage.

如何修補 CVE-2023-26119

要修補 CVE-2023-26119,請將受影響套件升級到下列已修補版本。

Maven/net.sourceforge.htmlunit:htmlunit—升級至 3.0.0 或更新版本

CVE-2023-26119 正在被利用嗎?

低 — EPSS 為 4.0%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, < 3.0.0

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	CRITICAL9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

參考連結(5)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2023-26119
PATCHgithub.com/HtmlUnit/htmlunit
WEBgithub.com/HtmlUnit/htmlunit/commit/641325bbc84702dc9800ec7037aec061ce21956b
WEBsecurity.snyk.io/vuln/SNYK-JAVA-NETSOURCEFORGEHTMLUNIT-3252500