漏洞信息详情

Apache OFBiz ‘View Log’跨站脚本漏洞

• CNNVD编号：CNNVD-201307-475
• 危害等级： 中危
  
• CVE编号： CVE-2013-2137
• 漏洞类型： 跨站脚本
• 发布时间： 2013-07-24
• 威胁类型： 远程
• 更新时间： 2013-08-16
• 厂        商： apache
• 漏洞来源： Gr??gory Draperi

漏洞简介

Apache Open For Business Project（也称OFBiz）是美国阿帕奇（Apache）软件基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

Apache OFBiz中的Webtools应用程序中的View Log屏幕中存在跨站脚本漏洞，该漏洞源于程序没有正确过滤用户提交的输入。远程攻击者可利用该漏洞注入任意Web脚本或HTML。以下版本受到影响：Apache OFBiz 10.04.01至10.04.05版本和11.04.01至11.04.02版本及12.04.01版本。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://ofbiz.apache.org/download.HTML#vulnerabilities

参考网址

来源: ofbiz.apache.org

链接:http://ofbiz.apache.org/download.HTML#vulnerabilities

来源: XF

名称: apache-ofbiz-cve20132137-xss(85874)

链接:http://xforce.iss.net/xforce/xfdb/85874

来源: BID

名称: 61370

链接:http://www.securityfocus.com/bid/61370

来源: SECUNIA

名称: 53910

链接:http://secunia.com/advisories/53910

来源: OSVDB

名称: 95523

链接:http://osvdb.org/95523

来源: BUGTRAQ

名称: 20130720 [CVE-2013-2137] Apache OFBiz XSS vulnerability in the "View Log" screen of the Webtools application

链接:http://archives.neohapsis.com/archives/bugtraq/2013-07/0144.HTML

受影响实体

• Apache Ofbiz:12.04.01  
• Apache Ofbiz:11.04.02  
• Apache Ofbiz:11.04.01  
• Apache Ofbiz:10.04.04  
• Apache Ofbiz:10.04.05  

补丁

暂无