一、漏洞详情

Apache Sling是一个基于可扩展内容树的 RESTful Web 应用程序框架。Sling API和Commons Log是Apache Sling中的组件。

Apache官方发布安全公告，披露了Apache Sling中的一个日志注入漏洞（CVE-2022-32549）。由于Apache Sling Commons Log <= 5.4.0 和Apache Sling API <= 2.25.0容易受到日志注入攻击，可以通过利用该漏洞注入虚假日志或损坏的日志文件，实现日志伪造以掩盖踪迹。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache Sling Commons Log <= 5.4.0

Apache Sling API <= 2.25.0

三、修复建议

目前此漏洞已经修复，受影响用户可以升级到最新版本：

Apache Sling Commons Log 5.4.2

Apache Sling API 2.25.4

下载链接：https://sling.apache.org/downloads.cgi