OpenNMS up to 1.8.16 跨站脚本攻击

CVE编号

CVE-2012-0936

利用情况

暂无

补丁情况

N/A

披露时间

2012-01-29

漏洞描述

OpenNMS 1.8.17版本之前的1.8.x版本，1.9.93版本及之前版本和1.10.1版本之前的1.10.x版本中的web/springframework/security/SecurityAuthenticationEventOnmsEventBuilder.java中存在跨站脚本漏洞（XSS）。远程攻击者可利用此漏洞借助与登录相关的Username字段注入任意web脚本或HTML。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http://issues.opennms.org/browse/NMS-5128?page=com.atlassian.jira.plugin.system.issuetabpanels:all-tabpanel

参考链接
http://fisheye.opennms.org/browse/opennms/features/springframework-security/s...
http://issues.opennms.org/browse/NMS-5128?page=com.atlassian.jira.plugin.syst...
http://issues.opennms.org/browse/NMS/fixforversion/10824#atl_token=BCL8-RCDX-...
http://issues.opennms.org/browse/NMS/fixforversion/10825
http://osvdb.org/78454
http://secunia.com/advisories/47646
http://www.securityfocus.com/bid/51632
https://exchange.xforce.ibmcloud.com/vulnerabilities/72625

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	opennms.org	opennms	*		Up to (including) 1.9.93
	运行在以下环境
	应用	opennms.org	opennms	0.2	-
	运行在以下环境
	应用	opennms.org	opennms	0.3.0	-
	运行在以下环境
	应用	opennms.org	opennms	0.4.0	-
	运行在以下环境
	应用	opennms.org	opennms	0.6.0	-
	运行在以下环境
	应用	opennms.org	opennms	0.6.1	-
	运行在以下环境
	应用	opennms.org	opennms	0.6.1--2	-
	运行在以下环境
	应用	opennms.org	opennms	0.6.2	-
	运行在以下环境
	应用	opennms.org	opennms	0.7.1	-
	运行在以下环境
	应用	opennms.org	opennms	0.7.2	-
	运行在以下环境
	应用	opennms.org	opennms	0.7.3	-
	运行在以下环境
	应用	opennms.org	opennms	0.7.5	-
	运行在以下环境
	应用	opennms.org	opennms	0.8.0	-
	运行在以下环境
	应用	opennms.org	opennms	0.8.1	-
	运行在以下环境
	应用	opennms.org	opennms	0.9.0	-
	运行在以下环境
	应用	opennms.org	opennms	0.9.1	-
	运行在以下环境
	应用	opennms.org	opennms	0.9.2	-
	运行在以下环境
	应用	opennms.org	opennms	0.9.3	-
	运行在以下环境
	应用	opennms.org	opennms	0.9.4	-
	运行在以下环境
	应用	opennms.org	opennms	0.9.5	-
	运行在以下环境
	应用	opennms.org	opennms	0.9.6	-
	运行在以下环境
	应用	opennms.org	opennms	0.9.9	-
	运行在以下环境
	应用	opennms.org	opennms	1.0.0	-
	运行在以下环境
	应用	opennms.org	opennms	1.0.1	-
	运行在以下环境
	应用	opennms.org	opennms	1.0.2	-
	运行在以下环境
	应用	opennms.org	opennms	1.1.0	-
	运行在以下环境
	应用	opennms.org	opennms	1.1.1	-
	运行在以下环境
	应用	opennms.org	opennms	1.1.2	-
	运行在以下环境
	应用	opennms.org	opennms	1.1.3	-
	运行在以下环境
	应用	opennms.org	opennms	1.1.4	-
	运行在以下环境
	应用	opennms.org	opennms	1.1.5	-
	运行在以下环境
应用	opennms.org	opennms	1.10.0	-
运行在以下环境
应用	opennms.org	opennms	1.2.0	-
运行在以下环境
应用	opennms.org	opennms	1.2.1	-
运行在以下环境
应用	opennms.org	opennms	1.2.2	-
运行在以下环境
应用	opennms.org	opennms	1.2.3	-
运行在以下环境
应用	opennms.org	opennms	1.2.4	-
运行在以下环境
应用	opennms.org	opennms	1.2.5	-
运行在以下环境
应用	opennms.org	opennms	1.2.6	-
运行在以下环境
应用	opennms.org	opennms	1.2.7	-
运行在以下环境
应用	opennms.org	opennms	1.2.8	-
运行在以下环境
应用	opennms.org	opennms	1.2.9	-
运行在以下环境
应用	opennms.org	opennms	1.3.0	-
运行在以下环境
应用	opennms.org	opennms	1.3.1	-
运行在以下环境
应用	opennms.org	opennms	1.3.10	-
运行在以下环境
应用	opennms.org	opennms	1.3.11	-
运行在以下环境
应用	opennms.org	opennms	1.3.2	-
运行在以下环境
应用	opennms.org	opennms	1.3.3	-
运行在以下环境
应用	opennms.org	opennms	1.3.4	-
运行在以下环境
应用	opennms.org	opennms	1.3.5	-
运行在以下环境
应用	opennms.org	opennms	1.3.6	-
运行在以下环境
应用	opennms.org	opennms	1.3.7	-
运行在以下环境
应用	opennms.org	opennms	1.3.8	-
运行在以下环境
应用	opennms.org	opennms	1.3.9	-
运行在以下环境
应用	opennms.org	opennms	1.5.90	-
运行在以下环境
应用	opennms.org	opennms	1.5.91	-
运行在以下环境
应用	opennms.org	opennms	1.5.92	-
运行在以下环境
应用	opennms.org	opennms	1.5.93	-
运行在以下环境
应用	opennms.org	opennms	1.5.94	-
运行在以下环境
应用	opennms.org	opennms	1.5.95	-
运行在以下环境
应用	opennms.org	opennms	1.5.96	-
运行在以下环境
应用	opennms.org	opennms	1.5.97	-
运行在以下环境
应用	opennms.org	opennms	1.5.98	-
运行在以下环境
应用	opennms.org	opennms	1.5.99	-
运行在以下环境
应用	opennms.org	opennms	1.6.0	-
运行在以下环境
应用	opennms.org	opennms	1.6.1	-
运行在以下环境
应用	opennms.org	opennms	1.6.10	-
运行在以下环境
应用	opennms.org	opennms	1.6.11	-
运行在以下环境
应用	opennms.org	opennms	1.6.2	-
运行在以下环境
应用	opennms.org	opennms	1.6.3	-
运行在以下环境
应用	opennms.org	opennms	1.6.4	-
运行在以下环境
应用	opennms.org	opennms	1.6.5	-
运行在以下环境
应用	opennms.org	opennms	1.6.6	-
运行在以下环境
应用	opennms.org	opennms	1.6.7	-
运行在以下环境
应用	opennms.org	opennms	1.6.8	-
运行在以下环境
应用	opennms.org	opennms	1.6.9	-
运行在以下环境
应用	opennms.org	opennms	1.7.0	-
运行在以下环境
应用	opennms.org	opennms	1.7.1	-
运行在以下环境
应用	opennms.org	opennms	1.7.10	-
运行在以下环境
应用	opennms.org	opennms	1.7.2	-
运行在以下环境
应用	opennms.org	opennms	1.7.3	-
运行在以下环境
应用	opennms.org	opennms	1.7.4	-
运行在以下环境
应用	opennms.org	opennms	1.7.5	-
运行在以下环境
应用	opennms.org	opennms	1.7.6	-
运行在以下环境
应用	opennms.org	opennms	1.7.7	-
运行在以下环境
应用	opennms.org	opennms	1.7.8	-
运行在以下环境
应用	opennms.org	opennms	1.7.9	-
运行在以下环境
应用	opennms.org	opennms	1.7.90	-
运行在以下环境
应用	opennms.org	opennms	1.7.91	-
运行在以下环境
应用	opennms.org	opennms	1.7.92	-
运行在以下环境
应用	opennms.org	opennms	1.8.0	-
运行在以下环境
应用	opennms.org	opennms	1.8.1	-
运行在以下环境
应用	opennms.org	opennms	1.8.10	-
运行在以下环境
应用	opennms.org	opennms	1.8.11	-
运行在以下环境
应用	opennms.org	opennms	1.8.12	-
运行在以下环境
应用	opennms.org	opennms	1.8.13	-
运行在以下环境
应用	opennms.org	opennms	1.8.14	-
运行在以下环境
应用	opennms.org	opennms	1.8.15	-
运行在以下环境
应用	opennms.org	opennms	1.8.16	-
运行在以下环境
应用	opennms.org	opennms	1.8.2	-
运行在以下环境
应用	opennms.org	opennms	1.8.3	-
运行在以下环境
应用	opennms.org	opennms	1.8.4	-
运行在以下环境
应用	opennms.org	opennms	1.8.5	-
运行在以下环境
应用	opennms.org	opennms	1.8.6	-
运行在以下环境
应用	opennms.org	opennms	1.8.7	-
运行在以下环境
应用	opennms.org	opennms	1.8.8	-
运行在以下环境
应用	opennms.org	opennms	1.8.9	-
运行在以下环境
应用	opennms.org	opennms	1.9.0	-
运行在以下环境
应用	opennms.org	opennms	1.9.1	-
运行在以下环境
应用	opennms.org	opennms	1.9.2	-
运行在以下环境
应用	opennms.org	opennms	1.9.3	-
运行在以下环境
应用	opennms.org	opennms	1.9.4	-
运行在以下环境
应用	opennms.org	opennms	1.9.5	-
运行在以下环境
应用	opennms.org	opennms	1.9.6	-
运行在以下环境
应用	opennms.org	opennms	1.9.7	-
运行在以下环境
应用	opennms.org	opennms	1.9.8	-
运行在以下环境
应用	opennms.org	opennms	1.9.90	-
运行在以下环境
应用	opennms.org	opennms	1.9.91	-
运行在以下环境
应用	opennms.org	opennms	1.9.92	-

CVSS3评分 4.3

• 攻击路径 网络
• 攻击复杂度 N/A
• 权限要求 无
• 影响范围 N/A
• 用户交互 需要
• 可用性 无
• 保密性 无
• 完整性 部分地

AV:N/AC:M/Au:N/C:N/I:P/A:N

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com