漏洞信息详情

OpenNMS 多个跨站脚本攻击漏洞

• CNNVD编号：CNNVD-200809-409
• 危害等级： 中危
  
• CVE编号： CVE-2008-4320
• 漏洞类型： 跨站脚本
• 发布时间： 2008-09-29
• 威胁类型： 远程
• 更新时间： 2008-09-30
• 厂        商： opennms.org
• 漏洞来源： d2d

漏洞简介

OpenNMS是一个企业级基于Java/XML的分布式网络和系统监控管理平台。

OpenNMS 1.5.94的之前版本中存在多个跨站脚本攻击漏洞，远程攻击者可以通过(1)对j_acegi_security_check的 j_username参数 , (2)对 notification/list.jsp的用户名参数, 以及 (3)对 event/list的 过滤参数，以执行任意web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

OpenNMS OpenNMS 1.5.90

OpenNMS OpenNMS 1.5.94

http://sourceforge.net/project/showfiles.php?group_id=4141&package_id=118141&release_id=628808

OpenNMS OpenNMS 1.5.91

OpenNMS OpenNMS 1.5.94

http://sourceforge.net/project/showfiles.php?group_id=4141&package_id=118141&release_id=628808

OpenNMS OpenNMS 1.5.92

OpenNMS OpenNMS 1.5.94

http://sourceforge.net/project/showfiles.php?group_id=4141&package_id=118141&release_id=628808

OpenNMS OpenNMS 1.5.93

OpenNMS OpenNMS 1.5.94

http://sourceforge.net/project/showfiles.php?group_id=4141&package_id=118141&release_id=628808

参考网址

来源: BID

名称: 31410

链接:http://www.securityfocus.com/bid/31410

来源: www.opennms.org

链接:http://www.opennms.org/documentation/ReleaseNotesUnStable.HTML#d788e257

来源: XF

名称: opennms-jacegisecuritycheck-xss(45417)

链接:http://xforce.iss.net/xforce/xfdb/45417

来源: SECUNIA

名称: 32019

链接:http://secunia.com/advisories/32019

来源: bugzilla.opennms.org

链接:http://bugzilla.opennms.org/show_bug.cgi?id=2634

来源: bugzilla.opennms.org

链接:http://bugzilla.opennms.org/show_bug.cgi?id=2633

来源: bugzilla.opennms.org

链接:http://bugzilla.opennms.org/show_bug.cgi?id=2631

受影响实体

• Opennms.Org Opennms:1.3.9  
• Opennms.Org Opennms:1.3.8  
• Opennms.Org Opennms:1.3.7  
• Opennms.Org Opennms:1.3.6  
• Opennms.Org Opennms:1.3.5  

补丁

暂无