Межсайтовый скриптинг в BEA's WebLogic Server
| Дата публикации: | 11.08.2003 |
| Всего просмотров: | 1069 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Несколько уязвимостей в проверке правильности входных данных обнаружено в BEA's WebLogic Server and Express и WebLogic Integration. Удаленный пользователь может выполнить XSS нападение против администратора системы. Некоторые из примеров, поставляемые с BEA, не в состоянии правильно декодировать HTML код, представленный пользователем, перед отображением кода. Удаленный пользователь может сконструировать специально обработанный URL, который, когда будет загружен администратором системы, выполнить произвольный код сценария в браузере целевого администратора. Уязвимость обнаружена в WebLogic Integration 2.1 and 7.0; Liquid Data 1.1; WebLogic Server and Express 5.1, 6.1, and 7.0 Для устранения уязвимости, установите соответствующие обновления: For WebLogic Integration 7.0: Apply the WebLogic Server patch to WebLogic Server 7.0 SP2 ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar and apply the WebLogic Integration patch to WebLogic Integration 7.0 SP2 ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR103371_WLI70SP2.zip You can use Service Pack 4 (when available) instead of Service Pack 2 and these patches. For WebLogic Integration 2.1 running on WebLogic Server 6.1 Service Pack 3: Apply the WebLogic Server patch to WebLogic Server 6.1 SP3 ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp3.jar and apply the WebLogic Integration patch to WebLogic Integration 2.1 ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip For WebLogic Integration 2.1 running on WebLogic Server 6.1 Service Pack 2: Apply the WebLogic Server patch to WebLogic Server 6.1 SP2 ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp2.jar and apply the WebLogic Integration patch to WebLogic Integration 2.1 ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip For Liquid Data 1.1: Apply the WebLogic Server patch to WebLogic Server 7.0 SP2 ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar and upgrade to Liquid Data Rolling Patch 4. For WebLogic Server 7.0: Upgrade to Service Pack 3 and apply the patch ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp3.jar You can use Service Pack 4 (when available) instead of Service Pack 3 and this patch. For WebLogic Server 6.1: Upgrade to Service Pack 5 and apply the patch ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp5.j ar You can use Service Pack 6 (when available) instead of Service Pack 5 and this patch. For WebLogic Server 5.1: Upgrade to Service Pack 13 and apply the patch ftp://ftpna.beasys.com/pub/releases/security/CR105007_510sp13.jar |
| Ссылки: | SECURITY ADVISORY (BEA03-36.00) |