发布日期：2010-05-27
更新日期：2010-05-28

受影响系统：

Apache Group MyFaces 1.2.8
Apache Group MyFaces 1.1.7

描述：

---

CVE ID: CVE-2010-2086

Apache MyFaces是JavaServer Faces标准的开源实现。

在没有加密view state的情况下，远程攻击者就可以通过在请求中向Apache MyFaces提供新的或修改的view对象执行跨站脚本或任意EL语句。成功利用这个漏洞要求修改非明文存储的序列化view对象。

<*来源：SpiderLabs
  
  链接：https://www.trustwave.com/spiderlabs/advisories/TWSL2010-001.txt
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://httpd.apache.org/

浏览次数：3076
严重程度：0（网友投票）