Apache MyFaces ViewState远程跨站脚本漏洞

关注 0

基本字段

漏洞编号：: SSV-19705

披露/发现时间：: 未知

提交时间：: 2010-05-31

漏洞等级：

漏洞类别：: 跨站脚本

影响组件：: Apache
(1.2.8,1.1.7)

漏洞作者：: 未知

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 Knownsec 共获得 0KB

CVE ID: CVE-2010-2086

Apache MyFaces是JavaServer Faces标准的开源实现。

在没有加密view state的情况下，远程攻击者就可以通过在请求中向Apache MyFaces提供新的或修改的view对象执行跨站脚本或任意EL语句。成功利用这个漏洞要求修改非明文存储的序列化view对象。

Apache Group MyFaces 1.2.8 Apache Group MyFaces 1.1.7 厂商补丁：

Apache Group

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://httpd.apache.org/

共 0 兑换了

PoC

暂无 PoC

参考链接

https://www.trustwave.com/spiderlabs/advisories/TWSL2010-001.txt

解决方案

临时解决方案

无

官方解决方案

升级到最新无漏洞版本

防护方案

无

暂无评论

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负