漏洞起因
输入验证错误
危险等级
低
影响系统
Apache Archiva 1.3.4
Apache Archiva 1.3.3
Apache Archiva 1.3.2
Apache Archiva 1.3.1
Apache Archiva 1.3
不受影响系统
Apache Archiva 1.3.5
危害
远程攻击者可以利用漏洞获得敏感信息或劫持用户会话。
攻击所需条件
攻击者必须构建恶意链接,诱使用户解析。
漏洞信息
Apache Archiva是一款管理一个和多个远程存储的软件。
Apache Archiva存在多个存储型和反射型跨站脚本问题,在请求参数中或发送表单中提交包含恶意代码的JavaScript,诱使用户处理可导致恶意脚本在目标用户浏览器上执行,可获得敏感信息或劫持用户会话。
测试方法
厂商解决方案
Apache Archiva 1.3.5已经修复此漏洞,建议用户下载使用:
http://archiva.apache.org/index.html
漏洞提供者
Riyaz Ahemed Walikar of Microland Ltd.
漏洞消息链接
http://seclists.org/bugtraq/2011/May/188
0 条评论。