重庆若可网络安全测评技术有限公司- 关于 Apache JSPWiki 跨站请求伪造漏洞（CVE-2022-28731）的安全公告

关于 Apache JSPWiki 跨站请求伪造漏洞（CVE-2022-28731）的安全公告

漏洞资讯 | 2022-11-17

一、漏洞分析

Apache JSPWiki 2.11.3 之前版本存在安全漏洞，该漏洞源于在 UserPreferences.jsp 上精心制作的请求可能触发 CSRF 漏洞，攻击者可利用该漏洞修改与被攻击账户相关的电子邮件，然后从登录页面请求重置密码。

二、风险等级

严重

三、影响范围

影响版本：Apache JSPWiki <2.11.3

四、处置建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://jspwiki-wiki.apache.org/Wiki.jsp?page=CVE-2022-2873 1 参考链接 https://nvd.nist.gov/vuln/detail/CVE-2022-28731