您的位置: 网界网 > 网络学院-安全 > 正文

安恒信息发现的JForum高风险漏洞被CVE收录

2014年05月28日 16:31:09 | 作者:佚名 | 来源:51CTO

摘要:JForum是一款功能强大的开源Javaeye论坛系统,国内外多达数百万论坛使用该系统,支持数十种的多国语言,其中包括简体中文。 安恒信息安全研究院发现JForum login.page中的adminUsers模块未能正确防御跨站请求伪造攻击,允许远...

标签
安恒JForum高风险漏洞CVE

JForum是一款功能强大的开源Javaeye论坛系统,国内外多达数百万论坛使用该系统,支持数十种的多国语言,其中包括简体中文。

安恒信息安全研究院发现JForum login.page中的adminUsers模块未能正确防御跨站请求伪造攻击,允许远程攻击者利用漏洞构建恶意URI,诱使管理员访问,提升普通用户权限至管理员权限。受此漏洞影响,使用该程序的网站将处于高度危险中!

安恒信息已及时将漏洞信息提交给国际著名的漏洞知识库CVE组织,并经过CVE组织重现风险。目前,该漏洞已被CVE组织收录,获得了该组织机构唯一的编号:CVE-2013-7209

CVE是国际上一个著名的漏洞知识库,也是目前在国际上最具公信力的安全弱点披露与发布单位,CVE组织是一个由企业界、政府界和学术界综合参与的国际组织,其使命是通过一种非盈利的组织形式,能更加快速而有效地去鉴别、发现和修复软件产品的脆弱性。CVE是编号与命名特定弱点的标准协议,以确保哪个弱点已经清楚确实地被辨识出来。目前,CVE的命名方案由MITER公司主持。CVE几乎收集了业界所有的系统漏洞信息并进行了CVE编号,是系统漏洞和漏洞防护领域事实上的工业标准。

[责任编辑:孙可 sun_ke@cnw.com.cn]

我也说几句

热点排行