发布日期:2013-09-27
更新日期:2013-10-08
受影响系统:
JavaMelody JavaMelody 1.46.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 62679
CVE ID: CVE-2013-4378
JavaMelody是监控QA及生产环境下Java或Java EE应用服务器的工具。
JavaMelody 1.46没有有效过滤X-Forwarded-For HTTP报文头内的输入,即显示在会话报告页面内。这可导致插入任意HTML或脚本代码,经查看后,可在管理员用户浏览器会话中执行这些恶意代码。
建议:
--------------------------------------------------------------------------------
厂商补丁:
JavaMelody
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://code.google.com/p/javamelody/
https://code.google.com/p/javamelody/downloads/list