Неавторизованный доступ в BEA's WebLogic Server и Express
| Дата публикации: | 21.03.2003 |
| Всего просмотров: | 858 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Уязвимость авторизации обнаружена в BEA's WebLogic Server и Express. Удаленный пользователь может выполнить административные функции без установления подлинности на целевом сервере. S21SEC и SPI Labs сообщили, что программа содержит некоторые неописанные приложения, используемые для внутренних server-to-server подключений, которые не требуют установление подлинности. Некоторые из этих приложений могут быть вызваны удаленным пользователем, чтобы выполнить административные функции. Например, удаленный пользователь может загрузить файлы, в произвольное местоположение на сервере или загрузить злонамеренный сценарий на WebLogic сервер и затем выполнить его с привилегиями Web сервера. Также удаленный пользователь может загрузить произвольные файлы с сервера и получить информацию о WebLogic пользователях, включая их имена пользователей и хэшированные пароли. Уязвимость обнаружена в WebLogic Server and Express 6.0, 6.1, 7.0 |
| Ссылки: | S21SEC-011 - Multiple vulnerabilities in BEA WebLogic Server |