Apache Geode跨站腳本漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到Apache Geode 數據管理平臺存在xss類型漏洞，漏洞編號：CVE-2022-34870，漏洞威脅等級：高危。

在使用Pulse web應用程序查看區域條目時，Apache Geode 1.15.0及之前的版本中存在跨站腳本（XSS）漏洞，可能導致敏感信息泄露或惡意操作。

對此，安識科技建議廣大用戶及時升級到安全版本，并做好資產自查以及預防工作，以免遭受黑客攻擊。

2. 漏洞概述

CVE：CVE-2022-34870

簡述：Apache Geode 是一個數據管理平臺，可在廣泛分布的云架構中提供對數據密集型應用程序的實時、一致的訪問。在使用Pulse web應用程序查看區域條目時，Apache Geode 1.15.0及之前的版本中存在跨站腳本（XSS）漏洞，可能導致敏感信息泄露或惡意操作。

3. 漏洞危害

攻擊者可利用該漏洞獲取用戶的敏感信息，并進行其他惡意操作。

4. 影響版本

目前受影響的Apache Geode 版本：

Apache Geode 版本 <= 1.15.0

5. 解決方案

目前該漏洞已經修復，受影響用戶可以升級到Apache Geode 1.15.1或更高版本。

6. 時間軸

【-】2022年10月24日 安識科技A-Team團隊監測到Apache Geode 跨站腳本漏洞信息

【-】2022年10月25日 安識科技A-Team團隊根據漏洞信息分析

【-】2022年10月26日 安識科技A-Team團隊發布安全通告