關(guān)于 Apache JSPWiki 跨站請(qǐng)求偽造漏洞 (CVE-2022-28731)的安全公告

 漏洞資訊     |      2022-11-17

一、漏洞分析

Apache JSPWiki 2.11.3 之前版本存在安全漏洞,該漏洞源于在 UserPreferences.jsp 上精心制作的請(qǐng)求可能觸發(fā) CSRF 漏洞,攻擊者 可利用該漏洞修改與被攻擊賬戶相關(guān)的電子郵件,然后從登錄頁(yè)面請(qǐng) 求重置密碼。

二、風(fēng)險(xiǎn)等級(jí)

嚴(yán)重

三、影響范圍

影響版本:Apache JSPWiki <2.11.3

四、處置建議

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://jspwiki-wiki.apache.org/Wiki.jsp?page=CVE-2022-2873 1 參考鏈接 https://nvd.nist.gov/vuln/detail/CVE-2022-28731