01
漏洞描述
Apache JSPWiki 是领先的开源 WikiWiki 引擎,功能丰富并围绕标准 JEE 组件(Java、servlet、JSP)构建。
它的一些功能包括:维基标记/结构化文本,文件附件,模板支持,通过您选择的两个 WikiPage 提供程序进行数据存储,并能够创建和插入新的提供程序,通过您选择的三个搜索提供程序提供搜索支持,并能够创建和插入新的搜索提供程序,对授权、身份验证和 ACL 的精细控制,但配置简单,简单的插件和页面过滤器界面,UTF-8 支持,基于JSP的,易于安装,页面锁定以防止编辑冲突,支持多个 Wiki,自定义用户首选项。
02
漏洞危害
CVE-2022-24947):Apache JSPWiki跨站请求伪造漏洞
2022年2月14日Apache发布安全公告ApacheJSPWiki中存在一个跨站请求伪造漏洞(CVE-2022-24947),Apache官方将其评为”严重”。由于ApacheJSPWiki用户首选项表单容易受到CSRF攻击,可能导致账户被接管。
03
影响范围
Apache JSPWiki <= 2.11.1
04
漏洞等级
严重
05
修复方案
目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:
ApacheJSPWiki >= 2.11.2
下载链接:
https://jspwiki-wiki.apache.org/Wiki.jsp?page= Downloads
06
微信交流群
请加小易微信号入群:yidong-sec
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Apache JSPWiki跨站请求伪造漏洞(CVE-2022-24947)