Security Lab

Уязвимость в механизме авторизации в BEA WebLogic Server

Дата публикации:24.03.2003
Всего просмотров:834
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость авторизации обнаружена в BEA WebLogic Server. Удаленный, предварительно авторизованный пользователь, может в некоторых получить доступ к Web приложению, без переподтверждения подлинности.

Уязвимость может произойти в ситуациях, в которых компонент Web приложения использует постоянство сеанса "памяти". В этом случае, удаленный заверенный пользователь, который подтвердил подлинность до перезагрузки, может быть способен получить доступ к Web приложению, не переподтверждая подлинность, даже если со времени первоначальной идентификации прошло много времени.

BEA заявляет, что уязвимы только системы, использующие постоянство сеанса "памяти" и динамическую передислокацию (то есть, передислокация без перезагрузки).

Уязвимость обнаружена в BEA WebLogic 7.0, 7.0.0.1

Ссылки: SECURITY ADVISORY (BEA03-27.00)