漏洞信息详情

Apache ActiveMQ 跨站脚本漏洞

• CNNVD编号：CNNVD-201402-038
• 危害等级： 中危
  
• CVE编号： CVE-2013-1880
• 漏洞类型： 跨站脚本
• 发布时间： 2014-02-12
• 威胁类型： 远程
• 更新时间： 2019-02-28
• 厂        商： apache
• 漏洞来源：

漏洞简介

Apache ActiveMQ是美国阿帕奇（Apache）软件基金会的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。

Apache ActiveMQ 5.8.0及之前的版本Demo Web应用程序中的Portfolio Publisher Servlet中存在跨站脚本漏洞，该漏洞源于参数‘refresh’值在传递给demo/portfolioPublish时没有正确过滤。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://issues.apache.org/jira/browse/AMQ-4398

参考网址

来源:www.ibm.com

链接:http://www.ibm.com/support/docview.wss?uid=ibm10872142

来源:www.auscert.org.au

链接:https://www.auscert.org.au/bulletins/75922

来源:www-01.ibm.com

链接:https://www-01.ibm.com/support/docview.wss?uid=ibm10872142

受影响实体

• Apache Activemq:5.8.0  
• Apache Activemq:5.7.0  
• Apache Activemq:5.6.0  
• Apache Activemq:5.5.1  
• Apache Activemq:5.5.0  

补丁

• activemq-parent-5.9.0-source-release
• apache-activemq-5.9.0-bin
• apache-activemq-5.9.0-bin