Раскрытие информации в Oracle BPEL Process Manager и SOA Suite

Дата публикации:
18.10.2013
Дата изменения:
18.10.2013
Всего просмотров:
1615
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
CVE ID:
CVE-2013-3828
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Oracle BPEL Process Manager 10.x
Oracle SOA Suite 10.x
Oracle SOA Suite 11.x
Уязвимые версии:
Oracle BPEL Process Manager версия 10.1.3.5.0
Oracle SOA Suite версия 10.1.3.5.0
Oracle SOA Suite версия 11.1.1.6.0

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным.

Уязвимость существует из-за ошибки в ScriptServlet компонента Web Services. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, получить доступ к административным учетным данным.

URL производителя: http://www.oracle.com

Решение: Установите исправление с сайта производителя.

Ссылки: http://www.oracle.com/technetwork/topics/security/cpuoct2013verbose-1899842.html#FMW
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html#AppendixFMW
http://www.zerodayinitiative.com/advisories/ZDI-13-249/

или введите имя

CAPTCHA