CH azonosító
CH-6255Angol cím
Oracle Application Server Cross-Site Scripting and SQL Injection VulnerabilitiesFelfedezés dátuma
2012.01.17.Súlyosság
KözepesÖsszefoglaló
Az Oracle Application Server sérülékenységeit jelentették, amelyeket kihasználva támadók SQL befecskendezéses és cross-site scripting (CSS/XSS) támadást indíthatnak.
Leírás
- Az idc/idcplg részére átadott bemeneti adat nincs megfelelően ellenőrizve. Ezt kihasználva SQL befecskendezéses támadás indítható.
Bővebb információ:
CERT-Hungary CH-6254 1. pont - Az URL (pl. idc/help/user_help/wwhelp/wwhimpl/common/html/frameset.htm) után fűzött átadott bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
- Az idc/idcplg részére átadott bemeneti adat nincs megfelelően ellenőrizve. Ezt kihasználva cross-site scripting (CSS/XSS) támadás indítható.
Bővebb információ:
CERT-Hungary CH-6254 3. pont
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
CERT-Hungary CH-6254
SECUNIA 47616
CVE-2012-0083 - NVD CVE-2012-0083
CVE-2012-0084 - NVD CVE-2012-0084
CVE-2012-0085 - NVD CVE-2012-0085