Vulnerability Bulletins |
Cross-site scripting permite comprometer cuentas de usuario en BEA WebLogic 5.1, 6.1, 7.0, 8.1 |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software |
WebLogic Server & Express 8.1 <= SP2 WebLogic Server & Express 7.0 <= SP4 WebLogic Server & Express 6.1 <= SP6 WebLogic Server & Express 5.1 <= SP13 |
Description |
|
Por defecto, los servidores WebLogic responden a peticiones HTTP TRACE, según lo estipulado en el RFC 2616. Sin embargo, el uso de estas peticiones, junto con algunas vulnerabilidades conocidas en navegadores de Internet, puede permitir el acceso no atuorizado a cuentas de usuario. | |
Solution |
|
Actualización de software BEA WebLogic Server y Express 8.1 Tras haber actualizado a Service Pack 2, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR124746_81sp2.jar BEA WebLogic Server and Express 7.0 Tras haber actualizado a Service Pack 4, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR124746_70sp4.jar BEA WebLogic Server and Express 6.1 Tras haber actualizado a Service Pack 6, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR124746_61sp6.jar BEA WebLogic Server and Express 5.1 Tras haber actualizado a Service Pack 13, aplique este parche ftp://ftpna.beasys.com/pub/releases/security/CR124746_51sp13.jar Otras descargas de BEA Puede obtener los distintos Service Pack en la siguiente dirección http://commerce.beasys.com/showallversions.jsp?family=WLS |
|
Standar resources |
|
Property | Value |
CVE | |
BID | |
Other resources |
|
BEA Security advisory BEA04-48.00 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_48.00.jsp RFC 2616 http://www.ietf.org/rfc/rfc2616.txt |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2004-02-02 |