发布日期：2010-05-21
更新日期：2010-05-25

受影响系统：

Apache Group Axis2 1.4.1

描述：

---

BUGTRAQ  ID: 40327
CVE ID: CVE-2010-2103

Axis2是一个Web服务的核心支援引擎。

Axis2没有正确地过滤提交给管理控制台axis2/axis2-admin/engagingglobally页面的modules参数便返回给了用户，远程攻击者可以通过提交恶意参数请求执行跨站脚本攻击，导致在用户浏览器会话中执行任意HTML和脚本代码。

<*来源：Richard Brain
  
  链接：http://secunia.com/advisories/39906/
        http://marc.info/?l=full-disclosure&m=127445862129680&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://target-domain.foo:8080/imcws/axis2-admin/axis2-admin/axis2-web/axis2-admin/axis2-admin/engagingglobally?submit=%2bEngage%2b&modules=<script>alert(1)</script>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://httpd.apache.org/

浏览次数：3191
严重程度：0（网友投票）