Apache Wicket ‘pageMapName’参数跨站脚本漏洞

漏洞起因
输入验证跨站脚本错误
危险等级

影响系统
Apache Software Foundation Apache Wicket 1.4.18
Apache Software Foundation Apache Wicket 1.4.17
Apache Software Foundation Apache Wicket 1.4.16

不受影响系统
Apache Software Foundation Apache Wicket 1.5.5
Apache Software Foundation Apache Wicket 1.4.20

危害
远程攻击者可以利用漏洞获得敏感信息,劫持用户会话等。

攻击所需条件
攻击者必须构建恶意URI,诱使用户解析。

漏洞信息
Apache Wicket是一个功能强大、基于组件的轻量级Web应用框架。
Apache Wicket存在输入验证漏洞,允许恶意攻击者进行跨站脚本攻击。
通过操作‘wicket:pageMapName’请求参数,攻击者可以利用漏洞进行跨站脚本攻击,构建恶意连接,诱使用户解析,可在目标用户浏览器上执行恶意脚本代码。

测试方法

厂商解决方案
Apache Wicket 1.5.5和1.4.20已经修复此漏洞,建议用户下载使用:
http://wicket.apache.org/2012/03/12/wicket-1.4.20-released.html
http://wicket.apache.org/2012/03/12/wicket-1.5.5-released.html

漏洞提供者
Jens Schenck and Stefan Schmidt

评论关闭。