【漏洞通告】Apache JSPWiki跨站请求伪造漏洞(CVE-2022-24947)

0x00 漏洞概述

0x01 漏洞详情

Apache JSPWiki是领先的开源Wiki引擎，功能丰富并围绕标准JEE组件(Java、servlet、JSP)构建。

2022年2月14日，Apache发布安全公告，Apache JSPWiki中存在一个跨站请求伪造漏洞(CVE-2022-24947)，Apache官方将其评为“严重”。由于Apache JSPWiki用户首选项表单容易受到CSRF攻击，可能导致账户被接管。

此外，Apache JSPWiki还修复了另一个XSS漏洞(CVE-2022-24948，中危)，该漏洞可导致攻击者在受害者的浏览器中执行javascript，并获取受害者的敏感信息。

影响范围

Apache JSPWiki <= 2.11.1

0x02 安全建议

目前这些漏洞已经修复，建议受影响用户及时升级更新到以下版本：

Apache JSPWiki >= 2.11.2

下载链接：https://jspwiki-wiki.apache.org/Wiki.jsp?page=Downloads

0x03 参考链接

https://jspwiki-wiki.apache.org/Wiki.jsp?page=CVE-2022-24947

https://www.mail-archive.com/announce@apache.org/msg07123.html

https://www.mail-archive.com/announce@apache.org/msg07124.html

0x04 版本信息

来源：维他命安全