发布日期：2010-11-30
更新日期：2010-11-03

受影响系统：

Apache Group Archiva Apache Archiva 1.3.1
Apache Group Archiva Apache Archiva 1.3
Apache Group Archiva Apache Archiva 1.2.2
Apache Group Archiva Apache Archiva 1.2
Apache Group Archiva Apache Archiva 1.1.4
Apache Group Archiva Apache Archiva 1.1
Apache Group Archiva Apache Archiva 1.0.3
Apache Group Archiva Apache Archiva 1.0

描述：

---

BUGTRAQ  ID: 45095
CVE ID: CVE-2010-3449

Archiva是一个管理一个和多个远程存储的软件。它能够与Maven，Continuum和ANT等构建工具完美结合。

Apache Archiva在实现上存在跨站请求伪造漏洞，远程攻击者可利用此漏洞执行某些管理动作，获取对受影响应用程序的未授权控制。

Apache Archiva未验证凭据来源。攻击者可创建特制的网页，并强制Archiva管理员查看，更改其证书。

<*来源：Anatolia Security Research Group
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://httpd.apache.org/

浏览次数：2759
严重程度：0（网友投票）