安恒信息发现JForum高风险漏洞并被CVE收录

JForum是一款功能强大的开源Javaeye论坛系统，国内外多达数百万论坛使用该系统，支持数十种的多国语言，其中包括简体中文。

安恒信息安全研究院发现JForum login.page中的adminUsers模块未能正确防御跨站请求伪造攻击，允许远程攻击者利用漏洞构建恶意URI，诱使管理员访问，提升普通用户权限至管理员权限。受此漏洞影响，使用该程序的网站将处于高度危险中！

安恒信息已及时将漏洞信息提交给国际著名的漏洞知识库CVE组织,并经过CVE组织重现风险。目前，该漏洞已被CVE组织收录，获得了该组织机构唯一的编号：CVE-2013-7209

关于CVE

CVE是国际上一个著名的漏洞知识库，也是目前在国际上最具公信力的安全弱点披露与发布 单位，CVE组织是一个由企业界、政府界和学术界综合参与的国际组织，其使命是通过一种非盈利的组织形式，能更加快速而有效地去鉴别、发现和修复软件产品 的脆弱性。CVE是编号与命名特定弱点的标准协议，以确保哪个弱点已经清楚确实地被辨识出来。目前，CVE的命名方案由MITER公司主持。CVE几乎收 集了业界所有的系统漏洞信息并进行了CVE编号，是系统漏洞和漏洞防护领域事实上的工业标准。