Apache Roller CVE-2012-2381跨站脚本漏洞

日期: 2012/06/28 | 标签: | 游览:338

漏洞起因
跨站脚本错误
危险等级

影响系统
Apache Software Foundation Apache Roller 4.0
Apache Software Foundation Apache Roller 3.1

不受影响系统

危害
远程攻击者可以利用漏洞获取敏感信息或劫持用户会话。

攻击所需条件
攻击者必须构建恶意URI,诱使用户解析。

漏洞信息
Apache Roller是一款,多用户的群组Blog服务器。
Roller没有正确过滤博客主提交的HTML和Javascript代码,攻击者可以构建恶意URI,诱使用户解析,获取敏感信息或劫持用户会话。

测试方法

厂商解决方案
Apache Roller 5.0.1已经修复此漏洞,建议用户下载使用:
http://roller.apache.org/

漏洞提供者
Jun Zhu

评论关闭。