|
|
|||||||||||||||||
| 漏洞名称: | Apache Struts 跨站脚本漏洞 |
| CNNVD编号: | CNNVD-201311-010 |
| 发布时间: | 2013-11-04 |
| 更新时间: | 2013-11-04 |
| 危害等级: | 
|
| 漏洞类型: | 跨站脚本 |
| 威胁类型: | 远程 |
| CVE编号: | CVE-2013-6348 |
Apache Struts是美国阿帕奇(Apache)软件基金会的一款用于开发Java EE Web应用程序的开源Web应用框架。
Apache Struts 2.3.15.3版本中存在跨站脚本漏洞,该漏洞源于config-browser/showConfig.action脚本和config-browser/actionNames.action脚本没有正确过滤‘namespace’参数。远程攻击者可通过构造特制的请求利用该漏洞注入任意Web脚本或HTML。
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://seclists.org/fulldisclosure/2013/Oct/244
|
来源: FULLDISC 来源: packetstormsecurity.com 来源: OSVDB |