发布日期：2013-09-15
更新日期：2013-09-18

受影响系统：

OWASP ESAPI 2.0GA
OWASP ESAPI 2.0.1

描述：

---

BUGTRAQ  ID: 62415
CVE ID: CVE-2013-5679

OWASP ESAPI是开源Web应用安全控件库。

ESAPI 2.0GA、2.0.1在CBC模式下使用ESAPI对称加密时，无法正确检查可信性，可使本地攻击者绕过安全限制，获取未授权访问权限。

<*来源：Kevin W. Wall
  
  链接：http://xforce.iss.net/xforce/xfdb/87124
        http://seclists.org/fulldisclosure/2013/Sep/99
*>

建议：

---

厂商补丁：

OWASP
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.owasp.org/index.php/Category:OWASP_Stinger_Project

http://code.google.com/p/owasp-esapi-java/downloads/detail?name=esapi-2.1.0-dist.zip&can=2&q=#makechanges

浏览次数：3199
严重程度：0（网友投票）