Security Lab

Обход авторизации в BEA Systems WebLogic Server

Дата публикации:26.06.2002
Всего просмотров:1068
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: BEA Systems WebLogic Server – Web и wireless сервер приложений для Microsoft Windows и Unix.

Уязвимость в WebLogic 5.1 позволяет удаленному пользователю обходить ограничение доступа к JSP и servlet страницам. Это реализуется добавлением дополнительного символа ‘/’ перед запрашиваемым ресурсом в URL. Пример: При попытке доступа к http://www.bea.com/MyWebApp/myfile.jsp система попросит ввести опознавательные данные. Если заменить на http://www.bea.com//MyWebApp//myfile.jsp, то авторизация не потребуется.

Уязвимость обнаружена в BEA Systems Weblogic Server 5.1- 5.1 SP 6

Ссылки: SECURITY ADVISORY (BEA00-06.00)