Множественные уязвимости в BEA Tuxedo и WebLogic Enterprise

Дата публикации:
31.10.2003
Всего просмотров:
1441
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2003-0621
CVE-2003-0622
CVE-2003-0623
CVE-2003-0624
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
BEA Tuxedo 8.x
BEA WebLogic Enterprise 5.x
BEA WebLogic Enterprise 4.x
BEA Tuxedo 6.x
BEA Tuxedo 7.x
Уязвимые версии: BEA Tuxedo 6.x, BEA Tuxedo 7.x, BEA Tuxedo 8.x, BEA WebLogic Enterprise 4.x, BEA WebLogic Enterprise 5.x.

Описание: Уязвимость обнаружена в BEA Tuxedo и WebLogic Enterprise. Злонамеренный пользователь может выполнить XSS нападение, вызвать отказ в обслуживании или определить существование файлов.

1. Раскрытие пути – представляя различные пути в качестве параметра при запуске программы, можно определить существование файла на системе.

2. Отказ в обслуживании – атакующий может представить имя устройства вместо имени файла в качестве одного из параметров запуска, чтобы завесить работу административной консоли.

3. Cross-Site Scripting (XSS) – пользователь может представить специально обработанное имя файла к административной консоли, чтобы выполнить произвольный код сценария в возвращенной странице.

URL производителя:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/advisory03_38_00.jsp

Решение:Установите Rolling Patch 62 или более поздний.

Ссылки: Patch available to prevent BEA Tuxedo Administration Console vulnerability

или введите имя

CAPTCHA