Vulnerability Bulletins

int(1605)

Vulnerability Bulletins

Múltiples vulnerabilidades de cross-site scripting en BEA WebLogic
Vulnerability classification
Property	Value
Confidence level	Oficial
Impact	Aumento de privilegios
Dificulty	Principiante
Required attacker level	Acceso remoto sin cuenta a un servicio exotico
System information
Property	Value
Affected manufacturer	Comercial Software
Affected software	WebLogic Server 8.1 <=Service Pack 4 WebLogic Express 8.1 <=Service Pack 4 WebLogic Server 7.0 <=Service Pack 6 WebLogic Express 7.0 <=Service Pack 6 WebLogic Server 6.1 <=Service Pack 7 WebLogic Express 6.1 <=Service Pack 7
Description
Se han descubierto múltiples vulnerabilidades de cross-site scripting en el Service Pack 4 y anteriores en la versión 8.1 de WebLogic Server y Express y en el Service Pack 5 y anteriores de la versión 7.0 de WebLogic Server y Express. Las vulnerabilidades residen en las aplicaciones de ejemplo de WebLogic. La explotación de estas vulnerabilidades podría permitir a un atacante remoto aumentar sus privilegios a administrativos.
Solution
Actualización de software WebLogic Server y WebLogic Express 8.1 Actualizar a WebLogic Server y WebLogic Express 8.1 Service Pack 4 http://commerce.bea.com/showallversions.jsp?family=WLS Aplicar el parche ftp://ftpna.bea.com/pub/releases/security/CR236810_810sp4.jar WebLogic Server y WebLogic Express 7.0 Actualizar a WebLogic Server y WebLogic Express 7.0 Service Pack 6 http://commerce.bea.com/showallversions.jsp?family=WLS Aplicar el parche ftp://ftpna.bea.com/pub/releases/security/CR236810_700sp6.jar WebLogic Server y WebLogic Express 6.1 Actualizar a WebLogic Server y WebLogic Express 6.1 Service Pack 7 http://commerce.bea.com/showallversions.jsp?family=WLS Aplicar el parche ftp://ftpna.bea.com/pub/releases/security/CR229334_610sp7.jar
Standar resources
Property	Value
CVE	CAN-2005-1747
BID	13717
Other resources
BEA Security Advisory BEA05-80.01 http://dev2dev.bea.com/pub/advisory/135 BEA Security Advisory BEA05-80.00 http://dev2dev.bea.com/pub/advisory/130 ACROS Security Problem Report #2005-05-24-1 http://www.acrossecurity.com/aspr/ASPR-2005-05-24-1-PUB.txt ACROS Security Problem Report #2005-05-24-2 http://www.acrossecurity.com/aspr/ASPR-2005-05-24-2-PUB.txt AppSecInc Team SHATTER Security Advisory BEA05-V0100 http://www.appsecinc.com/resources/alerts/general/BEA-001.html AppSecInc Team SHATTER Security Advisory BEA05-V0101 http://www.appsecinc.com/resources/alerts/general/BEA-002.html

Version history
Version	Comments	Date
1.0	Aviso emitido	2005-05-24
1.1	Avisos emitidos por ACROS (#2005-05-24-1, #2005-05-24-2). CAN añadido.	2005-05-25
2.0	Avisos emitidos por Application Security, Inc. (BEA05-V0100, BEA05-V0101)	2005-05-30
3.0	Añadido aviso BEA05-80.01. Nuevas versiones afectadas. Nuevos parches publicados por BEA.	2005-08-18

Vulnerability Bulletins

Múltiples vulnerabilidades de cross-site scripting en BEA WebLogic

Vulnerability classification

System information

Description

Solution

Standar resources

Other resources

Version history