Межсайтовый скриптинг в BEA's WebLogic Server

Дата публикации:
11.08.2003
Всего просмотров:
834
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Несколько уязвимостей в проверке правильности входных данных обнаружено в BEA's WebLogic Server and Express и WebLogic Integration. Удаленный пользователь может выполнить XSS нападение против администратора системы.

Некоторые из примеров, поставляемые с BEA, не в состоянии правильно декодировать HTML код, представленный пользователем, перед отображением кода. Удаленный пользователь может сконструировать специально обработанный URL, который, когда будет загружен администратором системы, выполнить произвольный код сценария в браузере целевого администратора.

Уязвимость обнаружена в WebLogic Integration 2.1 and 7.0; Liquid Data 1.1; WebLogic Server and Express 5.1, 6.1, and 7.0 Для устранения уязвимости, установите соответствующие обновления:

For WebLogic Integration 7.0: 

Apply the WebLogic Server patch to WebLogic Server 7.0 SP2 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar 

and apply the WebLogic Integration patch to WebLogic Integration 7.0 SP2 

ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR103371_WLI70SP2.zip 

You can use Service Pack 4 (when available) instead of Service Pack 2 and these patches. 



For WebLogic Integration 2.1 running on WebLogic Server 6.1 Service Pack 3: 

Apply the WebLogic Server patch to WebLogic Server 6.1 SP3 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp3.jar 

and apply the WebLogic Integration patch to WebLogic Integration 2.1 

ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip 


For WebLogic Integration 2.1 running on WebLogic Server 6.1 Service Pack 2: 

Apply the WebLogic Server patch to WebLogic Server 6.1 SP2 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp2.jar 

and apply the WebLogic Integration patch to WebLogic Integration 2.1 

ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip 


For Liquid Data 1.1: 

Apply the WebLogic Server patch to WebLogic Server 7.0 SP2 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar 

and upgrade to Liquid Data Rolling Patch 4. 


For WebLogic Server 7.0: 

Upgrade to Service Pack 3 and apply the patch 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp3.jar 

You can use Service Pack 4 (when available) instead of Service Pack 3 and this patch. 


For WebLogic Server 6.1: 

Upgrade to Service Pack 5 and apply the patch 

ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp5.j ar 

You can use Service Pack 6 (when available) instead of Service Pack 5 and this patch. 


For WebLogic Server 5.1: 

Upgrade to Service Pack 13 and apply the patch 

ftp://ftpna.beasys.com/pub/releases/security/CR105007_510sp13.jar


Ссылки: SECURITY ADVISORY (BEA03-36.00)
или введите имя

CAPTCHA