Межсайтовый скриптинг в административной консоли BEA WebLogic

Дата публикации:	27.04.2005
Дата изменения:	24.03.2009
Всего просмотров:	1080
Опасность:	Низкая
Наличие исправления:	Да
Количество уязвимостей:	1
CVE ID:	CVE-2005-1380
Вектор эксплуатации:	Удаленная
Воздействие:	Межсайтовый скриптинг
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	BEA WebLogic Server 8.x BEA WebLogic Express 8.x
	Уязвимые версии: BEA WebLogic 8.1 Описание: Уязвимость позволяет злоумышленнику произвести XSS нападение и получить доступ к потенциально важной информации пользователя. Уязвимость существует из-за некорректной обработки входных данных в параметре 'server' функции JndiFramesetAction. Удаленный пользователь может создать специально сформированный URL и выполнить произвольный HTML сценарий в браузере жертвы. Пример: http://[target]:8001/console/actions/jndi/Jndi FramesetAction?server='<script>alert(document. cookie);</script>mydomain%3AName%3 Dmyserver%2CType%3DS URL производителя: www.bea.com Решение: Установите последнюю версию с сайта производителя. Журнал изменений: 24.03.2009 Изменена секция "Решение"

Межсайтовый скриптинг в административной консоли BEA WebLogic

Подпишитесь на email рассылку