您所在的位置: 首頁 >
安全研究 >
安全通告 >
Apache JSPWiki跨站請(qǐng)求偽造漏洞
【漏洞通告】Apache JSPWiki跨站請(qǐng)求偽造漏洞(CVE-2022-24947)
0x00 漏洞概述
0x01 漏洞詳情
Apache JSPWiki是領(lǐng)先的開源Wiki引擎,功能豐富并圍繞標(biāo)準(zhǔn)JEE組件(Java、servlet、JSP)構(gòu)建。
2022年2月14日,Apache發(fā)布安全公告,Apache JSPWiki中存在一個(gè)跨站請(qǐng)求偽造漏洞(CVE-2022-24947),Apache官方將其評(píng)為“嚴(yán)重”。由于Apache JSPWiki用戶首選項(xiàng)表單容易受到CSRF攻擊,可能導(dǎo)致賬戶被接管。
此外,Apache JSPWiki還修復(fù)了另一個(gè)XSS漏洞(CVE-2022-24948,中危),該漏洞可導(dǎo)致攻擊者在受害者的瀏覽器中執(zhí)行javascript,并獲取受害者的敏感信息。
影響范圍
Apache JSPWiki <= 2.11.1
0x02 安全建議
目前這些漏洞已經(jīng)修復(fù),建議受影響用戶及時(shí)升級(jí)更新到以下版本:
Apache JSPWiki >= 2.11.2
下載鏈接:https://jspwiki-wiki.apache.org/Wiki.jsp?page=Downloads
0x03 參考鏈接
https://jspwiki-wiki.apache.org/Wiki.jsp?page=CVE-2022-24947
https://www.mail-archive.com/announce@apache.org/msg07123.html
https://www.mail-archive.com/announce@apache.org/msg07124.html
0x04 版本信息
來源:維他命安全