Apache Roller 在最新更新中修补了 CSRF 漏洞 CVE-2024-46911

阅读量38950

发布时间 : 2024-10-15 17:30:12

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/apache-roller-patches-csrf-flaw-cve-2024-46911-in-latest-update/

译文仅供参考,具体内容表达以及含义原文为准。

Apache Roller - CVE-2024-46911

Apache 软件基金会发布了 Apache Roller 的安全更新,这是一个基于 Java 的流行博客平台。该更新解决了一个关键的跨站请求伪造(CSRF)漏洞,该漏洞可允许攻击者在多用户 Roller 网站上提升权限。

“Apache Roller 副总裁 Dave Johnson 在官方安全公告中解释说:”在多博客/用户 Roller 网站上,默认情况下,网络日志所有者被信任可以发布任意网络日志内容,再加上 Roller 的 CSRF 保护措施存在缺陷,因此允许权限升级攻击。“这个问题影响到 6.1.4 之前的 Apache Roller。

该漏洞被追踪为 CVE-2024-46911,其严重性级别为 “重要”。攻击者可利用该漏洞对受信任的网络日志所有者执行未经授权的操作,从而可能危及整个博客平台。

为缓解这一漏洞,Apache Roller 6.1.4 引入了几个关键的安全增强功能:

  • 更安全的默认设置: 现在,默认情况下会对 HTML 内容进行消毒,以防止执行恶意代码。此外,默认情况下禁用自定义主题和文件上传,以减少潜在的攻击载体。
  • 改进的 CSRF 和 XSS 保护: 更新包括使用用户特定盐和一次性使用盐的增强型 CSRF 和跨站脚本 (XSS) 保护机制。
  • 依赖性更新: 实施了 20 多项依赖关系更新,包括 Spring、Eclipse-Link JPA、Log4j、Lucene 等的更新。

Johnson 敦促说:“运行多博客/用户 Roller 网站的 Roller 用户建议升级到 6.1.4 版,该版本修复了这一问题。”

Apache Roller 6.1.4 通过解决 CSRF 漏洞和实施其他安全措施,确保用户可以继续享受安全、强大的博客体验。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66