漏洞信息详情
BEA WebLogic Server和WebLogic Express多个远程漏洞
- CNNVD编号:CNNVD-200505-1155
- 危害等级: 中危
- CVE编号: CVE-2005-1747
- 漏洞类型: 跨站脚本
- 发布时间: 2005-05-24
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: bea
- 漏洞来源: The vendor disclos...
漏洞简介
BEA WebLogic Server和Express 8.1至Service Pack 4和7.0至Service Pack 6版本存在多个跨站脚本攻击(XSS)漏洞,远程攻击者可以通过在登录页(LoginForm.jsp)内的(1) j_username或(2) j_password参数,(3)传给管理控制台内的错误页的参数,(4)当管理员有一个活动会话以获取cookie时的服务器控制台上的未知向量或者(5)服务器控制台上不需要活动会话但是也泄露用号码和密码的替代向量,注入任意Web脚本或HTML,并可能获取权限。
漏洞公告
参考网址
来源: BID
名称: 13717
链接:http://www.securityfocus.com/bid/13717
来源: VUPEN
名称: ADV-2005-0607
链接:http://www.frsirt.com/english/advisories/2005/0607
来源: MISC
链接:http://www.appsecinc.com/resources/alerts/general/BEA-002.HTML
来源: MISC
链接:http://www.appsecinc.com/resources/alerts/general/BEA-001.HTML
来源: MISC
链接:http://www.acrossecurity.com/aspr/ASPR-2005-05-24-2-PUB.txt
来源: MISC
链接:http://www.acrossecurity.com/aspr/ASPR-2005-05-24-1-PUB.txt
来源: SECTRACK
名称: 1014049
链接:http://securitytracker.com/id?1014049
来源: SECUNIA
名称: 15486
链接:http://secunia.com/advisories/15486
来源: BEA
名称: BEA05-80.00
链接:http://dev2dev.bea.com/pub/advisory/130
来源: BUGTRAQ
名称: 20050527 [AppSecInc Advisory BEA05-V0101] BEA WebLogic Administration Console login page cross-site scripting vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111722380313416&w=2
来源: BUGTRAQ
名称: 20050527 [AppSecInc Advisory BEA05-V0100] BEA WebLogic Administration Console error page cross-site scripting vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111722298705561&w=2
来源: BUGTRAQ
名称: 20050524 ACROS Security: HTML Injection in BEA WebLogic Server Console (1)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111695921212456&w=2
来源: BUGTRAQ
名称: 20050524 ACROS Security: HTML Injection in BEA WebLogic Server Console (2)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111695844803328&w=2
受影响实体
- Bea Weblogic_server:8.1:Sp3
- Bea Weblogic_server:8.1:Sp3:Express
- Bea Weblogic_server:8.1:Sp3:Win32
- Bea Weblogic_server:8.1:Sp4
- Bea Weblogic_server:8.1:Sp4:Express
补丁
暂无
评论