JBoss AS Administration管理控制台跨站脚本漏洞

漏洞起因
输入验证错误
危险等级

影响系统
Red Hat JBoss Application Server 7.0

不受影响系统

危害
远程攻击者利用漏洞获得敏感信息。

攻击所需条件
攻击者必须构建恶意URI,诱使合法Red Hat JBoss Application Server用户访问。

漏洞信息
JBoss Enterprise Application Platform是一款企业级应用程序平台,用于基于JBoss的应用开发。
JBoss应用服务器管理控制台处理部分消息时(没有在使用之前正确过滤’onerror’参数)存在基于DOM的跨站脚本缺陷。远程攻击者可以构建恶意WEB页,诱使合法JBoss AS用户访问,可修改DOM环境和执行任意HTML或WEB脚本。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://issues.jboss.org/browse/AS7-2400

漏洞提供者
David Black

发表评论?

0 条评论。

发表评论