JasperForge JasperReports Server ‘_flowExecutionKey’参数跨站请求伪造漏洞

漏洞信息详情

JasperForge JasperReports Server ‘_flowExecutionKey’参数跨站请求伪造漏洞

• CNNVD编号：CNNVD-201109-250
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-1911
  
• 漏洞类型：
  
  
  跨站请求伪造
  
• 发布时间：
  
  1900-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-09-22
  
• 厂        商：
  
  jasperforge
• 漏洞来源：
  Michael Orlando

JasperReports Server Community Project 3.7.0和3.7.1版本中的JasperServer使用可预测的_flowExecutionKey参数。远程攻击者可借助暴力攻击方法执行跨站请求伪造攻击。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.kb.cert.org/vuls/id/519588

来源:US-CERT Vulnerability Note: VU#MAPG-8ELLJC

名称: http://www.kb.cert.org/vuls/id/MAPG-8ELLJC

链接:http://www.kb.cert.org/vuls/id/MAPG-8ELLJC

来源:US-CERT Vulnerability Note: VU#519588

名称: VU#519588

链接:http://www.kb.cert.org/vuls/id/519588

来源: XF

名称: jasperreports-flowexecutionkey-csrf(69849)

链接:http://xforce.iss.net/xforce/xfdb/69849

来源: BID

名称: 49649

链接:http://www.securityfocus.com/bid/49649

来源: www.csirtcv.gva.es

链接:http://www.csirtcv.gva.es/sites/all/files/images/content/%5BCSIRT-cv%5D%20JasperServer%203.7.0%20CE%20CSRF%20Advisory.pdf

来源: www.csirtcv.gva.es

链接:http://www.csirtcv.gva.es/es/alertas/vulnerabilidad-en-jasperserver.html