漏洞起因
跨站脚本错误
危险等级
低
影响系统
Apache Software Foundation Apache Roller 4.0
Apache Software Foundation Apache Roller 3.1
不受影响系统
危害
远程攻击者可以利用漏洞获取敏感信息或劫持用户会话。
攻击所需条件
攻击者必须构建恶意URI,诱使用户解析。
漏洞信息
Apache Roller是一款,多用户的群组Blog服务器。
Roller没有正确过滤博客主提交的HTML和Javascript代码,攻击者可以构建恶意URI,诱使用户解析,获取敏感信息或劫持用户会话。
测试方法
厂商解决方案
Apache Roller 5.0.1已经修复此漏洞,建议用户下载使用:
http://roller.apache.org/
漏洞提供者
Jun Zhu
评论关闭。