发布日期：2013-04-22
更新日期：2013-04-24

受影响系统：

Apache Group ActiveMQ 5.5
Apache Group ActiveMQ 5.4.0
Apache Group ActiveMQ 5.3.1
Apache Group ActiveMQ 5.3
Apache Group ActiveMQ 5.2

描述：

---

BUGTRAQ  ID: 59400
CVE(CAN) ID: CVE-2012-6092

Apache ActiveMQ是流行的消息传输和集成模式提供程序。

ActiveMQ 5.8.0之前版本的Web Demo中存在多个跨站脚本漏洞，远程攻击者通过refresh参数向PortfolioPublishServlet.java (即demo/portfolioPublish或Market Data Publisher)注入任意Web脚本或HTML，或通过debug日志或webapp/websocket/chat.js内的订阅消息，利用此漏洞注入并执行任意脚本代码。

<*来源：Gursev Kalra
  
  链接：https://issues.apache.org/jira/browse/AMQ-4115
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://issues.apache.org/jira/browse/AMQ/fixforversion/12323282

浏览次数：5392
严重程度：0（网友投票）