Michael Furman reports :

The web-based administration console does not set the X-Frame-Options header in HTTP responses. This allows the console to be embedded in a frame or iframe which could then be used to cause a user to perform an unintended action in the console.

The version of Apache ActiveMQ running on the remote host is affected by a clickjacking vulnerability in the web-based administration console due to not setting the X-Frame-Options header in HTTP responses. A remote attacker can exploit this to trick a user into executing administrative tasks.

Note that this vulnerability was partially fixed in 5.11.4 and 5.12.3 by setting the X-Frame-Options header for Servlets and JSPs but not static content. Therefore, the fix for these versions is incomplete, and it is recommended that users upgrade to 5.13.2 or later.

The version of Apache ActiveMQ running on the remote host is 5.x prior to 5.13.2. It is, therefore, affected by multiple vulnerabilities :

  - A clickjacking vulnerability exists in the web-based     administration console due to not setting the     X-Frame-Options header in HTTP responses. A remote     attacker can exploit this to trick a user into executing     administrative tasks. (CVE-2016-0734)

  - Multiple cross-site scripting vulnerabilities exists in     the web-based administration console to improper     validation of user-supplied input. A remote attacker can     exploit these, via a specially crafted request, to     execute arbitrary script code in a user's browser     session. (CVE-2016-0782)

Note that CVE-2016-0734 was partially fixed in 5.11.4 and 5.12.3 by setting the X-Frame-Options header for Servlets and JSPs but not static content. Therefore, the fix for these versions is incomplete, and it is recommended that users upgrade to 5.13.2 or later.

リモートホストで実行されている Apache ActiveMQ のバージョンが、HTTP 応答で X-Frame-Options ヘッダーを設定していないため、Web ベースの管理コンソールにおけるクリックジャッキングの脆弱性の影響を受けます。リモートの攻撃者がこれを悪用し、ユーザーを騙して管理者タスクを実行させる可能性があります。

注意：X-Frame-Options ヘッダーを静的コンテンツではなくサーブレットと JSP に設定することで、この脆弱性は 5.11.4 と 5.12.3 で部分的に修正されました。これにより、これらのバージョンの修正が不完全なため、ユーザーは 5.13.2 以降にアップグレードすることを推奨します。

Michael Furman 氏による報告：

Web ベースの管理コンソールは、HTTP レスポンスに X-Frame-Options ヘッダーを設定しません。このため、コンソールがフレームまたは iframe に組み込まれ、ユーザーが意図しないアクションをコンソールで実行するために利用される可能性があります。

Michael Furman 报告：

基于 Web 的管理控制台没有在 HTTP 响应中设置 X-Frame-Options 标头。这允许攻击者将控制台嵌入在帧或 iframe 中，然后利用它造成用户在控制台中执行非预期操作。

リモートホストで実行中の Apache ActiveMQ のバージョンは、5.13.2 より前の 5.x です。したがって、以下の複数の脆弱性による影響を受けます。

  - HTTP レスポンスに X-Frame-Options ヘッダーが設定されないため、Web ベースの管理コンソールにクリックジャッキングの脆弱性が存在します。リモートの攻撃者がこれを悪用し、ユーザーを騙して管理者タスクを実行させる可能性があります。(CVE-2016-0734)

  - ユーザー指定の入力が適切に検証されないため、Web ベースの管理コンソールに、複数のクロスサイトスクリプティングの脆弱性が存在します。リモートの攻撃者が、特別に細工されたリクエストを通じて、これらを悪用して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。(CVE-2016-0782)

注意：X-Frame-Options ヘッダーを静的コンテンツではなくサーブレットと JSP に設定することで、CVE-2016-0734 が 5.11.4 と 5.12.3 で部分的に修正されました。これにより、これらのバージョンの修正が不完全なため、ユーザーは 5.13.2 以降にアップグレードすることを推奨します。

远程主机上运行的 Apache ActiveMQ 版本为低于 5.13.2 的 5.x。因此，该服务器受到多个漏洞的影响：

  - 基于 Web 的管理控制台中存在一个点击劫持漏洞，这是因未在 HTTP 响应中设置 X-Frame-Options 标头所致。远程攻击者可利用此漏洞诱骗用户执行管理任务。(CVE-2016-0734)

  - 基于 Web 的管理控制台中存在多种跨站脚本漏洞，无法正确验证用户提供的输入。远程攻击者可利用这些漏洞，通过特别构建的请求，在用户的浏览器会话中执行任意脚本代码。(CVE-2016-0782)

请注意，CVE-2016-0734 已在 5.11.4 和 5.12.3 中进行了部分修复，方法是通过设置 Servlets 和 JSP（而非静态内容）的 X-Frame-Options 标头。因此这些版本的补丁不完整，建议用户升级到 5.13.2 或更高版本。

遠端主機上執行的 Apache ActiveMQ 版本會受 Web 型管理主控台中的點擊劫持弱點影響，這是因為未在 HTTP 回應中設定 X-Frame-Options 標頭所導致。遠端攻擊者可加以惡意利用，誘騙使用者執行管理工作。

請注意，此弱點已在 5.11.4 和 5.12.3 中部分修正，方法是透過設定 Servlets 和 JSP (而非靜態內容) 的 X-Frame-Options 標頭。因此這些版本的修正不完整，建議使用者升級至 5.13.2 或更新版本。

Michael Furman 報告：

Web 型管理主控台未在 HTTP 回應中設定 X-Frame-Options 標頭。這會允許攻擊者將主控台內嵌在框架或 iframe 中，然後利用它造成使用者在主控台中執行非預定動作。

遠端主機上執行的 Apache ActiveMQ 版本為比 5.13.2 舊的 5.x 版。因此，該應用程式受到多個弱點影響：

  - Web 型管理主控台中存在一個點擊劫持弱點，這是因未在 HTTP 回應中設定 X-Frame-Options 標頭所致。遠端攻擊者可加以惡意利用，誘騙使用者執行管理工作。(CVE-2016-0734)

  - Web 型管理主控台中存在多個跨網站指令碼弱點，無法正確驗證使用者提供的輸入。遠端攻擊者可惡意利用這些弱點，透過特製要求，在使用者的瀏覽器工作階段中執行任意指令碼。(CVE-2016-0782)

請注意，CVE-2016-0734 已在 5.11.4 和 5.12.3 中部分修正，方法是透過設定 Servlets 和 JSP (而非靜態內容) 的 X-Frame-Options 標頭。因此這些版本的修正不完整，建議使用者升級至 5.13.2 或更新版本。

远程主机上运行的 Apache ActiveMQ 版本会受基于 Web 的管理控制台中的点击劫持漏洞影响，这是因为未在 HTTP 响应中设置 X-Frame-Options 标头所导致。远程攻击者可利用此漏洞诱骗用户执行管理任务。

请注意，此漏洞已在 5.11.4 和 5.12.3 中进行了部分修复，方法是通过设置 Servlets 和 JSP（而非静态内容）的 X-Frame-Options 标头。因此这些版本的补丁不完整，建议用户升级到 5.13.2 或更高版本。

Versions of Apache ActiveMQ 5.x prior to 5.13.2 are affected by a flaw that is due to missing 'X-Frame-Options' headers in HTTP responses.  This may potentially allow a context-dependent attacker to conduct a clickjacking attack.

ID	名稱	產品	系列	已發布	已更新	嚴重性
90234	FreeBSD : activemq -- Web Console Clickjacking (950b2d60-f2a9-11e5-b4a9-ac220bdcec59)	Nessus	FreeBSD Local Security Checks	2016/3/28	2021/1/4	medium
90026	Apache ActiveMQ Web Console Missing X-Frame-Options Clickjacking	Nessus	CGI abuses	2016/3/18	2024/6/5	medium
90025	Apache ActiveMQ 5.x < 5.13.2 Multiple Vulnerabilities	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90026	Apache ActiveMQ Web コンソールに X-Frame-Options がないクリックジャッキング	Nessus	CGI abuses	2016/3/18	2024/6/5	medium
90234	FreeBSD：activemq -- Web コンソールのクリックジャッキング（950b2d60-f2a9-11e5-b4a9-ac220bdcec59）	Nessus	FreeBSD Local Security Checks	2016/3/28	2021/1/4	medium
90234	FreeBSD：activemq -- Web 控制台点击劫持 (950b2d60-f2a9-11e5-b4a9-ac220bdcec59)	Nessus	FreeBSD Local Security Checks	2016/3/28	2021/1/4	medium
90025	Apache ActiveMQ 5.x < 5.13.2 における複数の脆弱性	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90025	Apache ActiveMQ 5.x < 5.13.2 多种漏洞	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90026	Apache ActiveMQ Web 主控台缺少 X-Frame-Options 點擊劫持	Nessus	CGI abuses	2016/3/18	2024/6/5	medium
90234	FreeBSD：activemq -- Web 主控台點擊劫持 (950b2d60-f2a9-11e5-b4a9-ac220bdcec59)	Nessus	FreeBSD Local Security Checks	2016/3/28	2021/1/4	medium
90025	Apache ActiveMQ 5.x < 5.13.2 多個弱點	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90026	Apache ActiveMQ Web 控制台缺少 X-Frame-Options 点击劫持	Nessus	CGI abuses	2016/3/18	2024/6/5	medium
9318	Apache ActiveMQ 5.x < 5.13.2 Clickjacking	Nessus Network Monitor	CGI	2016/5/24	2019/3/6	low

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

low