阿里云漏洞库

中危 Apache ActiveMQ up to 5.5.0 Administration Console 跨站脚本攻击

CVE编号

CVE-2014-8110

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2015-02-13

漏洞描述

Apache ActiveMQ是一款开源消息总线，支持JMS1.1和J2EE 1.4规范的JMS Provider实现。

Apache ActiveMQ基于WEB的管理控制台多个实例存在跨站脚本漏洞，远程攻击者可以利用漏洞构建恶意URI，诱使用户解析，可获得敏感Cookie，劫持会话或在客户端上进行恶意操作。

解决建议

Apache ActiveMQ 5.10.1或5.11.0已经修复该漏洞，建议用户下载更新：
http://activemq.apache.org/

参考链接
http://activemq.apache.org/security-advisories.data/CVE-2014-8110-announcement.txt
http://seclists.org/oss-sec/2015/q1/427
http://secunia.com/advisories/62649
http://www.securityfocus.com/bid/72511
https://exchange.xforce.ibmcloud.com/vulnerabilities/100724
https://lists.apache.org/thread.html/a859563f05fbe7c31916b3178c2697165bd9bbf5...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	activemq	5.0.0	-
	运行在以下环境
	应用	apache	activemq	5.1.0	-
	运行在以下环境
	应用	apache	activemq	5.10.0	-
	运行在以下环境
	应用	apache	activemq	5.2.0	-
	运行在以下环境
	应用	apache	activemq	5.3.0	-
	运行在以下环境
	应用	apache	activemq	5.3.1	-
	运行在以下环境
	应用	apache	activemq	5.3.2	-
	运行在以下环境
	应用	apache	activemq	5.4.0	-
	运行在以下环境
	应用	apache	activemq	5.4.1	-
	运行在以下环境
	应用	apache	activemq	5.4.2	-
	运行在以下环境
	应用	apache	activemq	5.4.3	-
	运行在以下环境
	应用	apache	activemq	5.5.0	-
	运行在以下环境
	应用	apache	activemq	5.5.1	-
	运行在以下环境
	应用	apache	activemq	5.6.0	-
	运行在以下环境
	应用	apache	activemq	5.7.0	-
	运行在以下环境
	应用	apache	activemq	5.8.0	-
	运行在以下环境
	应用	apache	activemq	5.9.0	-
	运行在以下环境
	应用	apache	activemq	5.9.1	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0
	运行在以下环境
	系统	debian_10	activemq	*		Up to (excluding) 5.15.8-2
	运行在以下环境
	系统	debian_11	activemq	*		Up to (excluding) 5.16.1-1
	运行在以下环境
	系统	debian_12	activemq	*		Up to (excluding) 5.17.2+dfsg-2
	运行在以下环境
	系统	debian_sid	activemq	*		Up to (excluding) 5.17.2+dfsg-2

攻击路径

本地
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

无影响
数据完整性

N/A
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）