Apache CXF Fediz多个跨站请求伪造漏洞(CVE-2017-12631)

发布日期：2017-11-20
更新日期：2017-12-13

受影响系统：

Apache Group CXF Fediz < 1.4.3
Apache Group CXF Fediz < 1.3.3

描述：

---

BUGTRAQ  ID: 102127
CVE(CAN) ID: CVE-2017-12631

Apache CXF Fediz是Apache CXF子项目，用于实现SSO规范的WS联合身份验证被动请求者配置文件。

Apache CXF Fediz < 1.4.3、< 1.3.3版本，在实现上存在多个跨站请求伪造漏洞，远程攻击者利用这些漏洞可在受影响应用上下文中执行未授权操作。

<*来源：Mingjian Zhou (@Mingjian_Zhou)
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://cxf.apache.org/fediz.html
http://cxf.547215.n5.nabble.com/Apache-CXF-Fediz-1-4-3-and-1-3-3-released-with-a-new-security-advisory-CVE-2017-12631-td5785868.html