Red Hat JBoss Web 会话ID信息泄露漏洞 CVE-2012-4529 CNNVD-201310-542

4.3 AV AC AU C I A
发布: 2013-10-28
修订: 2013-10-30

Red Hat JBoss Web是美国(Red Hat)公司的一款构建在Apache和Tomcat之上的Web服务器,它支持在自定义、轻量级的框架中开发大型网站以及Web应用程序。 Red Hat JBoss Web 7.1.x及之前的版本中的org.apache.catalina.connector.Response.encodeURL方法中存在安全漏洞,该漏洞源于当使用COOKIE会话跟踪方法时,程序在发送会话请求的URL参数中错误的添加jsessionid。远程攻击者可通过实施中间人攻击或读取日志,利用该漏洞获取用户ID并劫持会话。

0%

漏洞利用/PoC

当前有3条漏洞利用/PoC

受影响的平台与产品

当前有11条受影响产品信息