双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號:CNTA-2016-0009

近日，國家信息安全漏洞共享平臺（CNVD）收錄了Apache Jetspeed用戶管理REST API未授權(quán)訪問漏洞（CNVD-2016-01500、CVE-2016-0710 ）和Apache Jetspeed目錄穿越漏洞（CNVD-2016-01499、CVE-2016-0709）。遠程攻擊者可利用漏洞通過調(diào)用RESTAPI來管理系統(tǒng)用戶，并在擁有管理員權(quán)限賬號的情況下，上傳任意文件，進而導(dǎo)致遠程命令執(zhí)行。

一、漏洞情況分析

Jetspeed是基于Java和XML的開源企業(yè)信息門戶的實現(xiàn)。Jetspeed可集成各種數(shù)據(jù)源，通過XSL技術(shù)將數(shù)據(jù)組織成Jsp頁面或Html頁面?zhèn)鹘o客戶端，并支持模板和內(nèi)容的發(fā)布框架。

Jetspeed用戶管理REST API存在未授權(quán)訪問漏洞。攻擊者可構(gòu)造用戶管理REST API創(chuàng)建用戶并提升為管理員，從而獲得管理員權(quán)限，執(zhí)行創(chuàng)建、編輯、刪除、提權(quán)等操作。

?Jetspeed后臺Portal Site Manger在處理import ZIP文件時存在目錄穿越的漏洞。攻擊者利用這兩個漏洞可在擁有管理員權(quán)限的情況上傳任意文件，例如通過管理員賬號在后臺Portal Site Manger處import惡意構(gòu)造的ZIP文件，ZIP 壓縮文件中包含名稱為../../webapps/de.jsp的文件，在后臺處理上傳時會拼接此文件名導(dǎo)致目錄穿越，控制文件上傳路徑，進而導(dǎo)致遠程命令執(zhí)行。

CNVD對上述漏洞的綜合評級均為“高危”。

二、漏洞影響范圍

上述漏洞分別影響Jetspeed2.3.0版本和Jetspeed2.3.0、2.2.0-2.2.2版本。

三、漏洞修復(fù)建議

目前，廠商已發(fā)布了漏洞解決方案，可將程序升級至2.3.1版本。CNVD建議相關(guān)用戶及時下載更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。http://tomcat.apache.org/security.html

附：參考鏈接：

https://portals.apache.org/jetspeed-2/security-reports.html#CVE-2016-0710

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01499

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01500