关键漏洞信息 CVE编号: CVE-2016-2171 漏洞描述: Jetspeed User Manager REST 服务未被 Jetspeed 安全框架限制。 严重性: 重要 漏洞详情 厂商: The Apache Software Foundation 受影响版本: Jetspeed 2.3.0 描述: - Jetspeed User Manager 服务对未授权访问脆弱。 - 以下API不受Jetspeed Security限制: - GET http://host/jetspeed/services/usermanager/users/ - GET http://host/jetspeed/services/usermanager/users/{name}/ - POST http://host/jetspeed/services/usermanager/users/{name}/ - POST http://host/jetspeed/services/usermanager/users/ - DELETE http://host/jetspeed/services/usermanager/users/{name}/ - 在即将发布的2.3.1版本中,这些URL已通过Jetspeed Security进行安全保护,需要管理权限。 缓解措施 使用2.3.0版本的用户应升级到2.3.1版本。 致谢 该问题由Andreas Lindh发现。 参考链接 http://tomcat.apache.org/security.html