漏洞起因
设计错误信息泄露
危险等级
低
影响系统
Apache Software Foundation Apache Wicket 1.5-RC5.1
Apache Software Foundation Apache Wicket 1.4.18
Apache Software Foundation Apache Wicket 1.4.17
Apache Software Foundation Apache Wicket 1.4.16
不受影响系统
Apache Software Foundation Apache Wicket 1.5.5
Apache Software Foundation Apache Wicket 1.4.20
危害
远程攻击者可以利用漏洞获得敏感文件信息。
攻击所需条件
攻击者必须访问Apache Wicket。
漏洞信息
Apache Wicket是一个功能强大、基于组件的轻量级Web应用框架。
向解析‘null’包的Wicket资源提交URL来可查看WEB应用程序的任意文件,通过指定相对路径,攻击者提交的URL可请求任意文件内容,如攻击者必须知道请求的文件名。
测试方法
厂商解决方案
Apache Wicket 1.5.5和1.4.20已经修复此漏洞,建议用户下载使用:
http://wicket.apache.org/2012/03/12/wicket-1.4.20-released.html
http://wicket.apache.org/2012/03/12/wicket-1.5.5-released.html
漏洞提供者
Sebastian van Erk
评论关闭。