Неавторизованный доступ в BEA's WebLogic Server и Express

Дата публикации:
21.03.2003
Всего просмотров:
623
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость авторизации обнаружена в BEA's WebLogic Server и Express. Удаленный пользователь может выполнить административные функции без установления подлинности на целевом сервере.

S21SEC и SPI Labs сообщили, что программа содержит некоторые неописанные приложения, используемые для внутренних server-to-server подключений, которые не требуют установление подлинности. Некоторые из этих приложений могут быть вызваны удаленным пользователем, чтобы выполнить административные функции. Например, удаленный пользователь может загрузить файлы, в произвольное местоположение на сервере или загрузить злонамеренный сценарий на WebLogic сервер и затем выполнить его с привилегиями Web сервера.

Также удаленный пользователь может загрузить произвольные файлы с сервера и получить информацию о WebLogic пользователях, включая их имена пользователей и хэшированные пароли.

Уязвимость обнаружена в WebLogic Server and Express 6.0, 6.1, 7.0

Ссылки: S21SEC-011 - Multiple vulnerabilities in BEA WebLogic Server

или введите имя

CAPTCHA