发布日期：2013-05-06
更新日期：2013-05-07

受影响系统：

Apache Group VCL 2.3.1
Apache Group VCL 2.3
Apache Group VCL 2.2.1
Apache Group VCL 2.2
Apache Group VCL 2.1
Apache Group VCL

描述：

---

BUGTRAQ  ID: 59670
CVE(CAN) ID: CVE-2013-0267

Apache VCL是模块化云计算平台。

Apache VCL的web GUI “Privileges”部分和XMLRPC API没有正确验证输入数据，具有较低管理权限的恶意用户可控制Web GUI提交的数据，也可以提交不正常的数据到API，获取更多的管理权限。在2.3.1版本引入的API函数中存在漏洞。这些API函数也可用于执行拒绝服务攻击及XSS攻击。

<*来源：Josh Thompson
  
  链接：http://www.securityfocus.com/archive/1/526544
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://vcl.apache.org/

浏览次数：4197
严重程度：0（网友投票）