CVE编号
CVE-2016-2171利用情况
暂无补丁情况
官方补丁披露时间
2016-04-12漏洞描述
Apache Jetspeed是美国阿帕奇(Apache)软件基金会的一套使用Java和XML开发的开放门户平台和企业信息门户网站。User Manager service是其中的一个用户管理服务。Apache Jetspeed 2.3.1之前版本的User Manager服务中存在未授权操作漏洞,该漏洞源于程序未能正确限制使用Jetspeed Security的访问权限。远程攻击者可借助REST API利用该漏洞添加、编辑或删除用户。
解决建议
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://portals.apache.org/jetspeed-2/security-reports.html#CVE-2016-2171
参考链接 |
|
|---|---|
| http://haxx.ml/post/140552592371/remote-code-execution-in-apache-jetspeed-230-and | |
| http://mail-archives.apache.org/mod_mbox/portals-jetspeed-user/201603.mbox/%3... | |
| https://portals.apache.org/jetspeed-2/security-reports.html#CVE-2016-2171 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | apache | jetspeed | * |
Up to (including) 2.3.0 |
|||||
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 传输被破坏
- 服务器危害 无影响
- 全网数量 N/A
还没有评论,来说两句吧...