近日，我司监测到Apache发布安全公告，修复了一个存在于Apache Tapestry中的安全漏洞，该漏洞与 CVE-2020-17531 漏洞相似，攻击者可通过传入包含恶意负载的 service parameter （sp）参数远程执行恶意代码。

Apache Tapestry是用Java编写的开源Web框架。它是一个基于组件的Web框架。

影响版本:

• 3.0 <= Apache Tapestry <= 3.0.5

安全版本：

• Apache Tapestry >= 5.0.1

修复建议：

Apache Tapestry 3.x 版本（现已停止维护）存在 Java 反序列化漏洞，建议用户升级至 Apache Tapestry 5.x 版本。参考地址如下：

https://tapestry.apache.org/news.html