CH azonosító
CH-8967Angol cím
Oracle WebLogic Server Cross-Site Scripting and Manipulation of Data VulnerabilitiesFelfedezés dátuma
2013.04.16.Súlyosság
KözepesÖsszefoglaló
Az Oracle WebLogic Server két sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat hajthatnak végre, valamint módosíthatnak egyes adatokat.
Leírás
- A console/console.portal részére az “SNMPMonitoringTablePortlet[SNMPMonitoringTable]sortby” paraméteren keresztül átadott bemeneti adat (amikor “nfpb” “true” és “_pageLabel” “SNMPMonitoringTablePage” értékre van állítva) nincs megfelelően megtisztítva a felhasználónak való visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- A “WebLogic Console” alkomponens egy hibáját kihasználva módosítani lehet bizonyos adatokat.
A sérülékenységeket a 10.0.2, 10.3.5, 10.3.6 és 12.1.1 verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
CVE-2013-1504 - NVD CVE-2013-1504
CVE-2013-2390 - NVD CVE-2013-2390
SECUNIA 51501