漏洞标题
N/A
漏洞描述信息
Apache Wicket 6.x 之前的 6.25.0 版本、7.x 之前的 7.5.0 版本和 8.0.0-M1 版本提供了一种 CSRF 防止措施,但它无法发现某些跨来源请求。缓解措施不仅是检查 HTTP 源头部,而且在没有提供源的情况下考虑 Referer 头部。此外,不是所有的 Wicket 服务器端目标都接受了 CSRF 检查。这也已经被修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Apache Wicket 6.x before 6.25.0, 7.x before 7.5.0, and 8.0.0-M1 provide a CSRF prevention measure that fails to discover some cross origin requests. The mitigation is to not only check the Origin HTTP header, but also take the Referer HTTP header into account when no Origin was provided. Furthermore, not all Wicket server side targets were subjected to the CSRF check. This was also fixed.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Wicket 跨站请求伪造漏洞
漏洞描述信息
Apache Wicket是美国阿帕奇(Apache)软件基金会的一套开源、轻量、基于组件的框架,它提供了一种面向对象的方式来开发基于Web的动态UI应用程序。 Apache Wicket 6.25.0之前的6.x版本、7.5.0之前的7.x版本和8.0.0-M1版本中存在跨站请求伪造漏洞,该漏洞源于程序没有发现跨源请求。远程攻击者可利用该漏洞执行未授权的操作。
CVSS信息
N/A
漏洞类别
跨站请求伪造