从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞类型:未授权内容注入(Unauthenticated Content Injection)。 - 受影响组件:OpenEdge Management web界面通过ActiveMQ发现服务。 - 受影响版本:OpenEdge LTS版本11.7.19和12.2.14及更早版本,包括所有更新到12.8.3或更早版本的更新。 2. 漏洞影响: - 潜在影响:恶意攻击者可以通过ActiveMQ发现服务发送恶意UDP多播消息,这些消息可以被OpenEdge/OEM客户端接收并注入到OpenEdge web界面中,导致HTML、CSS等其他内容被注入,从而可能被用户看到或执行。 - 缓解措施:在修复版本中,ActiveMQ发现服务的“auto-discovery”功能将默认禁用,即“allowDiscover”选项将被设置为“false”。 3. 修复版本: - 受影响版本:OpenEdge LTS版本11.7.19和12.2.14及更早版本。 - 修复版本:OpenEdge LTS更新11.7.20或更高版本,12.2.15或更高版本,12.8.3或更高版本。 4. 临时缓解措施: - 如果不能立即更新,可以手动将“allowDiscover”选项设置为“false”在“management.properties”配置文件中,以禁用ActiveMQ发现服务。 5. 受影响用户: - 所有在受影响版本的OpenEdge/OEM用户,包括那些在OpenEdge LTS版本11.7.19和12.2.14及更早版本的用户。 6. 业务影响: - 未授权内容注入可能导致网络洪水、嗅探和篡改等风险。 - 可能导致HTML/CSS注入攻击,可能被用户看到或执行。 7. 如何升级: - 客户可以通过下载OpenEdge LTS更新11.7.20、12.2.16和12.8.3来升级到修复版本。 8. 免责声明: - 信息可能由内部或外部来源提供,不保证其准确性或完整性。 - 用户应自行评估和管理任何潜在风险。 这些信息可以帮助用户了解漏洞的严重性、受影响范围以及如何采取措施来缓解或修复该漏洞。