> Apache CXF Fediz Spring 2、Spring 3和Spring 4插件跨站请求伪造漏洞

Apache CXF Fediz Spring 2、Spring 3和Spring 4插件跨站请求伪造漏洞

CNNVD-ID编号	CNNVD-201711-1199	CVE编号	CVE-2017-12631
发布时间	2017-12-01	更新时间	2020-11-13
漏洞类型	跨站请求伪造	漏洞来源	N/A
危险等级	高危	威胁类型	远程
厂商	apache

漏洞介绍

Apache CXF是美国阿帕奇（Apache）软件基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。Apache CXF Fediz是其中的一个子项目，主要用于提供身份验证。Spring 2、Spring 3和Spring 4都是使用在其中的Web开发框架。

Apache CXF Fediz中的Spring 2、Spring 3和Spring 4插件存在跨站请求伪造漏洞。远程攻击者可利用该漏洞创建安全的上下文。

漏洞补丁

目前厂商已发布升级了Apache CXF Fediz Spring 2、Spring 3和Spring 4插件跨站请求伪造漏洞的补丁，Apache CXF Fediz Spring 2、Spring 3和Spring 4插件跨站请求伪造漏洞的补丁获取链接：

http://cxf.apache.org/security-advisories.data/CVE-2017-12631.txt.asc

参考网址

来源:BID

链接：https://www.securityfocus.com/bid/102127

来源:MLIST

链接：https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637de102cea07d79b2dbf@%3Ccommits.cxf.apache.org%3E

来源:MLIST

链接：https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e578a75738740b244bd4@%3Ccommits.cxf.apache.org%3E

来源:SECTRACK

链接：http://www.securitytracker.com/id/1040487

来源:MLIST

链接：https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d2fdbcf9ed307839a6@%3Ccommits.cxf.apache.org%3E

来源:MLIST

链接：http://cxf.547215.n5.nabble.com/Apache-CXF-Fediz-1-4-3-and-1-3-3-released-with-a-new-security-advisory-CVE-2017-12631-td5785868.html

受影响实体

Apache Cxf_fediz:1.4.0 Apache Cxf_fediz:1.4.1 Apache Cxf_fediz:1.4.2

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201711-1199