Apache Wicket跨站脚本执行漏洞

日期: 2012/09/10 | 标签: | 游览:364

受影响系统:

Apache Group Wicket 1.x

描述:

BUGTRAQ  ID: 55445
CVE ID: CVE-2012-3373

Wicket 提供了一种面向对象的方式来开发基于 Web 的动态 UI 应用程序。

Apache Wicket 1.4.21、1.5.8之前版本在指向Wicket应用的URL中增加已编码空字节,将JS语句注入到ajax,然后将恶意URL发送给用户并诱使其打开,导致在受影响站点的用户浏览器会话中执行任意HTML和脚本代码。

<*来源:Thomas Heigl

链接:http://secunia.com/advisories/50555/
https://wicket.apache.org/2012/09/06/cve-2012-3373.html
*>

建议:

厂商补丁:

Apache Group
————
Apache Group已经为此发布了一个安全公告(cve-2012-3373)以及相应补丁:

cve-2012-3373:CVE-2012-3373 – Apache Wicket XSS vulnerability

链接:https://wicket.apache.org/2012/09/06/cve-2012-3373.html

评论关闭。