Apache Archiva 跨站请求伪造漏洞(CVE-2017-5657)

挖山 2017-05-22

Apache Archiva 跨站请求伪造漏洞(CVE-2017-5657)


发布日期:2017-05-18
更新日期:2017-05-22

受影响系统:

Apache Group Archiva 2.0.0 - 2.2.1
Apache Group Archiva 1.x

描述:

CVE(CAN) ID: CVE-2017-5657

Archiva是远程存储管理软件。

Archiva 1.x、2.0.0 - 2.2.1版本在多个REST服务端点中存在跨站请求伪造漏洞,可使攻击者通过在archiva站同一浏览器中打开恶意网页,对archiva服务执行任意操作。

<*来源:vendor
 
  链接:http://archiva.apache.org/security.html#CVE-2017-5657
*>

建议:

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://archiva.apache.org/download.html

挖山

挖山

相关推荐

CSRF跨站请求伪造与XSS跨域脚本攻击讨论

今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享.登录受信任网站A,并在本地生成Cookie。在不登出A的情况下,访问危险网站B。    <input type=‘hidden‘

码农成长记 / 0评论 2020-05-10

django之cookies,session 、中间件及跨站请求伪造

但是我们可能在登录之后,要保存用户的部分信息,这样下次就可以直接登录了,这里就引出了cookie. cookie是保存在客户端浏览器上的键值对,是服务端发来的,下次访问服务器时浏览器会自动携带这些键值对,以便服务器提取有用信息。cookie是服务端设置在客

zhouxuan / 0评论 2019-10-30

同步令牌模式防范CSRF跨站请求伪造攻击

什么是“跨渣请求伪造”呢?这是信息安全领域的一个名词,译自英文“Cross Site Request Forgery”。百度百科上介绍的很简单却很明了,大家可以看一下,我这里配合一些代码稍微多说一点。假设我们要在银行网站上给老妈转100块钱,毕竟毕业这么多

MichaelFreeman / 0评论 2016-03-14

web安全之跨站请求伪造

CSRF,中文名称:跨站请求伪造.因为这个不是用户真正想发出的请求,这就是所谓的请求伪造;因为这些请求也是可以从第三方网站提交的,所以前缀跨站二字。用户登录访问了一个受信任的站点,在用户还没有退出登录的时候,打开另外一个tab页,访问了网站B。dataup

fzxhsaj / 0评论 2015-10-13

Apache CXF Fediz多个跨站请求伪造漏洞(CVE-2017-12631)

Apache CXF Fediz多个跨站请求伪造漏洞发布日期:2017-11-20更新日期:2017-12-13受影响系统:。Apache Group CXF Fediz < 1.4.3Apache Group CXF Fediz < 1.3.

willgo / 0评论 2017-12-13

Apache Jackrabbit跨站请求伪造漏洞(CVE-2016-6801)

Apache Jackrabbit跨站请求伪造漏洞发布日期:2016-09-20更新日期:2016-09-22受影响系统:。CVE ID: CVE-2016-6801Apache Jackrabbit是一个完全遵守Java API版的内容存储规范的实现。A

嘻哈熊 / 0评论 2016-09-23

Apache Archiva跨站请求伪造漏洞(CVE-2016-4469)

Apache Archiva跨站请求伪造漏洞发布日期:2016-07-28更新日期:2016-07-30受影响系统:。CVE ID: CVE-2016-4469Archiva是远程存储管理软件。Apache Archiva 1.3.9及更早版本存在多个跨站

Albertsong / 0评论 2016-07-30

JSP/MySQL Administrador Web跨站请求伪造漏洞(CVE-2015-6944)

JSP/MySQL Administrador Web跨站请求伪造漏洞发布日期:2015-09-15更新日期:2015-09-16受影响系统:。JSPMySQL Administrador JSPMySQL Administrador 0.1描述:。CVE

PengQ / 0评论 2015-09-16

WordPress Unite Gallery Lite插件SQL注入及跨站请求伪造漏洞

WordPress Unite Gallery Lite插件SQL注入及跨站请求伪造漏洞发布日期:2015-07-25更新日期:2015-07-29受影响系统:。BUGTRAQ ID: 76043Unite Gallery是WordPress的图形及视频库

chenxcd / 0评论 2015-07-30

Cisco Unity Connection CUCReports页跨站请求伪造漏洞(CVE-2015

Cisco Unity Connection CUCReports页跨站请求伪造漏洞发布日期:2015-05-06更新日期:2015-05-07受影响系统:。Cisco Unity Connection 11.0Cisco Unity Connection

第N帝国 / 0评论 2015-05-07

Drupal ‘BrowserID’ 跨站请求伪造漏洞和安全绕过漏洞

发布时间: 2012-05-25漏洞版本:7.x-1.x漏洞描述:Drupal是一款开源CMS,可以作为各种网站的内容管理平台。Drupal的BrowserID模块中存在跨站请求伪造漏洞和安全绕过漏洞。攻击者可利用这些漏洞绕过安全限制进而获取敏感信息,或者

hangshao / 0评论 2012-05-27

IBM WebSphere Application Server跨站请求伪造漏洞

受影响系统:IBM Websphere Application Server 7.0.x描述:--------------------------------------------------------------------------------C

cheng0 / 0评论 2011-06-20

Ruby on Rails跨站脚本执行及跨站请求伪造漏洞

受影响系统:Ruby on Rails Ruby on Rails 3.xRuby on Rails Ruby on Rails 2.xRuby on Rails Ruby on Rails 1.x不受影响系统:Ruby on Rails Ruby on

lettleredhat / 0评论 2011-04-07

php安全开发 添加随机字符串验证,防止伪造跨站请求

yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频

PHP100 / 0评论 2019-03-27

php中防止伪造跨站请求的小招式

伪造跨站请求介绍   伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:   伪造链接,引诱用户点击,或是让用户在不知情的情况下访问   伪造表单,引诱用户提交。  比较常见而且也

PHP100 / 0评论 2019-03-27