Apache MyFaces Tomahawk JSF架构Autoscroll参数跨站脚本漏洞

2007-06-18T00:00:00
ID SSV:1879
Type seebug
Reporter Root
Modified 2007-06-18T00:00:00

Description

Java Server Faces, JSF是一款用于建立服务端GUI WEB应用程序的架构。

Java Server Faces, JSF不正确过滤用户提交的HTTP请求,远程攻击者可以利用漏洞进行跨站脚本攻击,获得敏感信息。

当从POST或者GET请求解析'autoscroll'参数时,由于不充分过滤,可导致提交恶意脚本代码作为参数,当其他用户解析时可泄露敏感信息。

Apache MyFaces Tomahawk 1.1.5 升级程序:

Apache MyFaces Tomahawk 1.1.5

* Apache tomahawk-1.1.6-bin.tar.gz
  <a href="http://www.apache.org/dyn/closer.cgi/myfaces/binaries/tomahawk-1.1.6-b" target="_blank">http://www.apache.org/dyn/closer.cgi/myfaces/binaries/tomahawk-1.1.6-b</a> in.tar.gz