CVE编号
CVE-2019-17573利用情况
暂无补丁情况
N/A披露时间
2020-01-17漏洞描述
默认情况下,Apache CXF创建一个 /services 页面,其中包含可用端点名称和地址的列表。此网页易受反映的跨站点脚本(XSS)攻击的攻击,该攻击使恶意攻击者可以将javascript注入网页。请注意,该攻击利用了现代浏览器通常不具备的功能,该功能会在发送请求之前删除点段。但是,移动应用程序可能容易受到攻击。解决建议
厂商已发布了漏洞修复程序,请及时关注更新:http://cxf.apache.org/security-advisories.data/CVE-2019-17573.txt.asc?version=1&modificationDate=1579178542000&api=v2
参考链接 |
|
|---|---|
| http://cxf.apache.org/security-advisories.data/CVE-2019-17573.txt.asc?version... | |
| http://www.openwall.com/lists/oss-security/2020/11/12/2 | |
| https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637d... | |
| https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd1... | |
| https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd1... | |
| https://lists.apache.org/thread.html/r51fdd73548290b2dfd0b48f7ab69bf9ae064dd1... | |
| https://lists.apache.org/thread.html/r81a41a2915985d49bc3ea57dde2018b03584a86... | |
| https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d... | |
| https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9... | |
| https://lists.apache.org/thread.html/rf3b50583fefce2810cbd37c3d358cbcd9a03e75... | |
| https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1a... | |
| https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e57... | |
| https://www.oracle.com/security-alerts/cpuApr2021.html | |
| https://www.oracle.com/security-alerts/cpujul2020.html |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | apache | cxf | * |
From (including) 3.2.0 |
Up to (including) 3.2.12 |
||||
| 运行在以下环境 | |||||||||
| 应用 | apache | cxf | * |
From (including) 3.3.0 |
Up to (excluding) 3.3.5 |
||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
还没有评论,来说两句吧...