发布日期:2012-09-07
更新日期:2012-09-11
受影响系统:
Apache Group Wicket 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 55445
CVE ID: CVE-2012-3373
Wicket 提供了一种面向对象的方式来开发基于 Web 的动态 UI 应用程序。
Apache Wicket 1.4.21、1.5.8之前版本在指向Wicket应用的URL中增加已编码空字节,将JS语句注入到ajax,然后将恶意URL发送给用户并诱使其打开,导致在受影响站点的用户浏览器会话中执行任意HTML和脚本代码。
<*来源:Thomas Heigl
链接:
https://wicket.apache.org/2012/09/06/cve-2012-3373.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
Apache Group已经为此发布了一个安全公告(cve-2012-3373)以及相应补丁:
cve-2012-3373:CVE-2012-3373 - Apache Wicket XSS vulnerability
链接:https://wicket.apache.org/2012/09/06/cve-2012-3373.html