漏洞信息详情
Apache MyFaces Tomahawk jsF框架Autoscroll参数跨站脚本执行漏洞
- CNNVD编号:CNNVD-200706-275
- 危害等级: 中危
- CVE编号: CVE-2007-3101
- 漏洞类型: 跨站脚本
- 发布时间: 2007-06-18
- 威胁类型: 远程
- 更新时间: 2007-06-27
- 厂 商: apache
- 漏洞来源: Rajat Swarup
漏洞简介
Java Server Faces(jsF)是用于创建服务器端GUI Web应用的框架,Apache MyFaces Tomahawk是jsF的开源实现。
MyFaces Tomahawk jsF框架中负责解析HTTP请求的代码中存在跨站脚本漏洞,远程攻击者可能利用此漏洞在用户的浏览器中执行恶意代码。
在解析POST或GET请求的autoscroll参数时,该变量的值未经过滤直接注入了发送给客户端Javascript,这就允许攻击者在MyFaces应用的域中执行任意Javascript。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Apache Group
------------
http://www.apache.org/dyn/closer.cgi/myfaces/binaries/tomahawk-1.1.6-bin.tar.gz
参考网址
来源: BID
名称: 24480
链接:http://www.securityfocus.com/bid/24480
来源: VUPEN
名称: ADV-2007-2212
链接:http://www.frsirt.com/english/advisories/2007/2212
来源: SECUNIA
名称: 25618
链接:http://secunia.com/advisories/25618
来源: IDEFENSE
名称: 20070614 Apache MyFaces Tomahawk jsF Framework Cross-Site Scripting (XSS) Vulnerability
链接:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=544
来源: issues.apache.org
链接:http://issues.apache.org/jira/secure/ReleaseNote.jspa?version=12312536&stylename=Text&projectId=12310272
来源: XF
名称: myfaces-autoscroll-xss(34872)
链接:http://xforce.iss.net/xforce/xfdb/34872
受影响实体
- Apache Myfaces_tomahawk:1.1.5
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论