【IT168 评论】JForum是一款功能强大的开源Javaeye论坛系统,国内外多达数百万论坛使用该系统,支持数十种的多国语言,其中包括简体中文。
安恒信息安全研究院发现JForum login.page中的adminUsers模块未能正确防御跨站请求伪造攻击,允许远程攻击者利用漏洞构建恶意URI,诱使管理员访问,提升普通用户权限至管理员权限。受此漏洞影响,使用该程序的网站将处于高度危险中!
安恒信息已及时将漏洞信息提交给国际著名的漏洞知识库CVE组织,并经过CVE组织重现风险。目前,该漏洞已被CVE组织收录,获得了该组织机构唯一的编号:CVE-2013-7209
