Red Hat JBoss Portal GateIn Portal不正确URL转义多个反射型跨站脚本漏洞

漏洞起因
输入验证错误
危险等级

影响系统
Redhat JBoss Portal 6.1.0
Redhat GateIn Portal 3.6.3

不受影响系统

危害
远程攻击者可以利用漏洞可获取敏感信息或者劫持用户会话。
CVSSv2:

攻击所需条件
攻击者必须访问JBoss Enterprise Portal Platform。

漏洞信息
JBoss Enterprise Portal Platform是JBoss企业中间件和JBoss企业SOA组合的一部分,它们均由JBoss Developer Studio支持。
Red Hat JBoss Portal存在发射型跨站脚本漏洞,漏洞是由于GateIn Portal组件不正确处理URL转义,允许攻击者构建恶意URI,诱使用户解析,当恶意数据被查看时可获取敏感信息或者劫持用户会话。

测试方法
安全建议

厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息:
http://rhn.redhat.com/errata/RHSA-2013-1843.html

漏洞提供者
Cloud Technology Development Department – Ricoh Company

评论关闭。