关键信息 漏洞概述 漏洞编号: VU#845332 影响版本: Studio for OrientDB Server Community Edition version prior to version 2.1.1 漏洞类型: - CWE-352: Cross-Site Request Forgery (CSRF) - CWE-330: Use of Insufficiently Random Values - CWE-20: Improper Input Validation 影响 攻击者能力: 未经授权的远程攻击者可执行与受害者用户相同的权限操作。 特权提升: 认证用户可能通过操控Session ID获得数据库的管理权限。 解决方案 1. 更新版本: - 应用OrientDB发布的2.0.15和2.1.1版本。 - 关闭默认的JSONP功能,以应对CVE-2015-2912。 2. 随机数生成: 使用 以解决CVE-2015-2913。 3. 设置HTTP头: 配置 为 以防止点击劫持攻击。 4. 禁用OrientDB Studio: 如果不需要,考虑禁用以避免风险。 CVSS指标 基础分数: 6.0 临时分数: 5.1 环境分数: 3.8 其他信息 CVE ID: CVE-2015-2912, CVE-2015-2913, CVE-2015-2918 公开日期: 2015-08-31 首次发布日期: 2015-09-03 文件修订: 49