您所在的位置: 首頁 >
安全研究 >
安全通告 >
Apache JSPWiki跨站請求偽造漏洞
Apache JSPWiki跨站請求偽造漏洞
【漏洞通告】Apache JSPWiki跨站請求偽造漏洞(CVE-2022-24947)
0x00 漏洞概述
0x01 漏洞詳情
Apache JSPWiki是領先的開源Wiki引擎,功能豐富并圍繞標準JEE組件(Java、servlet、JSP)構建。
2022年2月14日,Apache發(fā)布安全公告,Apache JSPWiki中存在一個跨站請求偽造漏洞(CVE-2022-24947),Apache官方將其評為“嚴重”。由于Apache JSPWiki用戶首選項表單容易受到CSRF攻擊,可能導致賬戶被接管。
此外,Apache JSPWiki還修復了另一個XSS漏洞(CVE-2022-24948,中危),該漏洞可導致攻擊者在受害者的瀏覽器中執(zhí)行javascript,并獲取受害者的敏感信息。
影響范圍
Apache JSPWiki <= 2.11.1
0x02 安全建議
目前這些漏洞已經修復,建議受影響用戶及時升級更新到以下版本:
Apache JSPWiki >= 2.11.2
下載鏈接:https://jspwiki-wiki.apache.org/Wiki.jsp?page=Downloads
0x03 參考鏈接
https://jspwiki-wiki.apache.org/Wiki.jsp?page=CVE-2022-24947
https://www.mail-archive.com/announce@apache.org/msg07123.html
https://www.mail-archive.com/announce@apache.org/msg07124.html
0x04 版本信息
來源:維他命安全