Множественные уязвимости в BEA Tuxedo и WebLogic Enterprise
| Дата публикации: | 31.10.2003 |
| Всего просмотров: | 1709 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2003-0621 CVE-2003-0622 CVE-2003-0623 CVE-2003-0624 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Раскрытие системных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
BEA Tuxedo 8.x
BEA WebLogic Enterprise 5.x BEA WebLogic Enterprise 4.x BEA Tuxedo 6.x BEA Tuxedo 7.x |
| Уязвимые версии: BEA Tuxedo 6.x,
BEA Tuxedo 7.x,
BEA Tuxedo 8.x,
BEA WebLogic Enterprise 4.x,
BEA WebLogic Enterprise 5.x.
Описание: Уязвимость обнаружена в BEA Tuxedo и WebLogic Enterprise. Злонамеренный пользователь может выполнить XSS нападение, вызвать отказ в обслуживании или определить существование файлов. 1. Раскрытие пути – представляя различные пути в качестве параметра при запуске программы, можно определить существование файла на системе. 2. Отказ в обслуживании – атакующий может представить имя устройства вместо имени файла в качестве одного из параметров запуска, чтобы завесить работу административной консоли. 3. Cross-Site Scripting (XSS) – пользователь может представить специально обработанное имя файла к административной консоли, чтобы выполнить произвольный код сценария в возвращенной странице. URL производителя:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/advisory03_38_00.jsp Решение:Установите Rolling Patch 62 или более поздний. |
|
| Ссылки: | Patch available to prevent BEA Tuxedo Administration Console vulnerability |