漏洞信息详情
JavaMelody ‘X-Forwarded-For’ Header 跨站脚本漏洞
- CNNVD编号:CNNVD-201309-522
- 危害等级: 中危
- CVE编号: CVE-2013-4378
- 漏洞类型: 跨站脚本
- 发布时间: 2013-09-30
- 威胁类型: 远程
- 更新时间: 2013-10-11
- 厂 商: emeric_vernat
- 漏洞来源: Rafael Luque
漏洞简介
JavaMelody是一套Java应用监控工具。该工具能够在QA和实际运行生产环境中监测Java或Java EE应用程序服务器,并以图表的形式显示Java内存和Java CPU使用情况、用户Session数量等。
JavaMelody 1.46及更早版本中的HTMLSessionInformationsReport.java文件中存在跨站脚本漏洞。远程攻击者可借助特制的X-Forwarded-For头文件利用该漏洞注入任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://code.Google.com/p/javamelody/wiki/ReleaseNotes
参考网址
来源: code.Google.com
链接:https://code.Google.com/p/javamelody/source/detail?r=3515
来源: MLIST
名称: [oss-security] 20130926 Re: CVE request: Javamelody blind XSS through X-Forwarded-For header
链接:http://seclists.org/oss-sec/2013/q3/679
来源: code.Google.com
链接:https://code.Google.com/p/javamelody/wiki/ReleaseNotes
来源: code.Google.com
链接:https://code.Google.com/p/javamelody/issues/detail?id=346
来源: BID
名称: 62679
链接:http://www.securityfocus.com/bid/62679
来源: OSVDB
名称: 97778
链接:http://osvdb.org/97778
受影响实体
- Emeric_vernat Javamelody:1.7
- Emeric_vernat Javamelody:1.6
- Emeric_vernat Javamelody:1.9
- Emeric_vernat Javamelody:1.8
- Emeric_vernat Javamelody:1.11
补丁
暂无
评论