漏洞起因
设计错误
危险等级
中
影响系统
Apache Rave 0.11 ~ 0.20
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须访问Apache Rave。
漏洞信息
Apache Rave是一个全新的Web和社交混搭引擎。
Apache Rave处理User RPC API存在安全漏洞,允许通过验证的攻击者可提交特殊的查询获得用户对象敏感信息。
测试方法
/app/api/rpc/users/get?offset=3DOFFSET
厂商解决方案
Apache Rave 0.20.1及之后版本已经修复此漏洞,建议用户下载更新:
http://rave.apache.org/
漏洞提供者
Andreas Guth of RWTH Aachen University
评论关闭。