漏洞信息详情

Apache Jackrabbit 多个跨站脚本漏洞

• CNNVD编号：CNNVD-200901-265
• 危害等级： 中危
  
• CVE编号： CVE-2009-0026
• 漏洞类型： 跨站脚本
• 发布时间： 2009-01-21
• 威胁类型： 远程
• 更新时间： 2009-02-05
• 厂        商： apache
• 漏洞来源： Jukka Zitting jukk...

漏洞简介

Apache Jackrabbit是一个完全遵守Java API版的内容存储规范(JCR)的实现。

Apache Jackrabbit的search.jsp和swr.jsp页面没有正确地过滤q参数便返回给了用户，这允许远程攻击者通过提交恶意请求执行跨站脚本攻击，在用户浏览器会话中执行任意HTML和脚本代码。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://httpd.apache.org/

参考网址

来源: CONFIRM

名称: https://issues.apache.org/jira/browse/JCR-1925

链接:https://issues.apache.org/jira/browse/JCR-1925

来源: XF

名称: jackrabbit-search-swr-xss(48110)

链接:http://xforce.iss.net/xforce/xfdb/48110

来源: BID

名称: 33360

链接:http://www.securityfocus.com/bid/33360

来源: BUGTRAQ

名称: 20090120 [ANNOUNCE] Apache Jackrabbit 1.5.2 released

链接:http://www.securityfocus.com/archive/1/archive/1/500196/100/0/threaded

来源: VUPEN

名称: ADV-2009-0177

链接:http://www.frsirt.com/english/advisories/2009/0177

来源: www.apache.org

链接:http://www.apache.org/dist/jackrabbit/RELEASE-NOTES-1.5.2.txt

来源: SREASON

名称: 4942

链接:http://securityreason.com/securityalert/4942

来源: SECUNIA

名称: 33576

链接:http://secunia.com/advisories/33576

受影响实体

• Apache Jackrabbit:1.4  
• Apache Jackrabbit:1.5.0  

补丁

暂无