阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
应用程序
CVE-2018-10899
中危
系统范围的CSRF,可能导致远程执行代码
CVE编号
CVE-2018-10899
利用情况
暂无
补丁情况
官方补丁
披露时间
2019-08-02
漏洞描述
在从1.2到1.6.1之前的Jolokia版本中发现了一个缺陷。受影响的版本易受系统范围的CSRF攻击。对于经过严格检查原始和引荐来源标头的正确配置的实例,这也适用。这可能会导致远程执行代码攻击。
解决建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://jolokia.org/
参考链接
https://access.redhat.com/errata/RHSA-2019:2413
https://access.redhat.com/errata/RHSA-2019:2804
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10899
https://jolokia.org/changes-report.html#a1.6.1
https://lists.apache.org/thread.html/1392fbebb4fbbec379a40d16e1288fe1e4c0289d...
https://lists.apache.org/thread.html/r46f6dbc029f49e1f638c6eb82accb94b7f990d8...
https://lists.apache.org/thread.html/r64701caec91c43efd7416d6bddef88447371101...
https://lists.apache.org/thread.html/r67cdc50af9caf89c9ebe1bde08393a343dcd89e...
https://lists.apache.org/thread.html/rc169dac018d07e8ddf2a3bb2fd1efc6cbda4f83...
https://lists.apache.org/thread.html/rdb0a59d7851e721b75beea13d6488e345a3e273...
https://lists.apache.org/thread.html/rf33ffbba619a4281ce592a6ed259c07a557aefb...
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
jolokia
jolokia
*
From
(including)
1.2.0
Up to
(excluding)
1.6.1
运行在以下环境
应用
redhat
openstack
13.0
-
阿里云评分
6.6
攻击路径
远程
攻击复杂度
复杂
权限要求
普通权限
影响范围
全局影响
EXP成熟度
未验证
补丁情况
官方补丁
数据保密性
无影响
数据完整性
无影响
服务器危害
无影响
全网数量
N/A
CWE-ID
漏洞类型
CWE-352
跨站请求伪造(CSRF)
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×