Apache VCL多个输入验证漏洞

发布日期:2013-05-06
更新日期:2013-05-07

受影响系统:
Apache Group VCL 2.3.1
 Apache Group VCL 2.3
 Apache Group VCL 2.2.1
 Apache Group VCL 2.2
 Apache Group VCL 2.1
 Apache Group VCL
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 59670
 CVE(CAN) ID: CVE-2013-0267
 
Apache VCL是模块化云计算平台。
 
Apache VCL的web GUI “Privileges”部分和XMLRPC API没有正确验证输入数据,具有较低管理权限的恶意用户可控制Web GUI提交的数据,也可以提交不正常的数据到API,获取更多的管理权限。在2.3.1版本引入的API函数中存在漏洞。这些API函数也可用于执行拒绝服务攻击及XSS攻击。
 
<*来源:Josh Thompson
 
  链接:http://www.securityfocus.com/archive/1/526544
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Apache Group
 ------------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
http://vcl.apache.org/

相关推荐