Borrado de objetos de un EJB sin los permisos adecuados en BEA WebLogic Server
|
Vulnerability classification
|
Property |
Value |
Confidence level |
Oficial |
Impact |
Integridad |
Dificulty |
Avanzado |
Required attacker level |
Acceso remoto sin cuenta a un servicio exotico |
System information
|
Property |
Value |
Affected manufacturer |
Comercial Software |
Affected software |
WebLogic Server 8.1 <=SP2
WebLogic Server 7.0 <=SP4
WebLogic Server 6.1 <=SP6
WebLogic Express 8.1 <=SP2
WebLogic Express 7.0 <=SP4
WebLogic Express 6.1 <=SP6 |
Description
|
Se ha descubierto una vulnerabilidad en las versiones 8.1, 7.0 y 6.1 de WebLogic Server y WebLogic Express. La vulnerabilidad afecta a sitios con EJBs que contienen aplicaciones que ejecutan el método remove() y podría permitir a un atacante remoto sin permisos para ejecutar el método remove() borrar el objeto. |
Solution
|
Los usuarios de WebLogic Server y WebLogic Express version 7.0 deben instalar el Service Pack 5.
Actualización de software
BEA
BEA WebLogic Server 6.1
BEA WebLogic Express 6.1
ftp://ftpna.beasys.com/pub/releases/security/CR134122_610sp6.jar
BEA WebLogic Server 8.1
BEA WebLogic Express 8.1
ftp://ftpna.beasys.com/pub/releases/security/CR134122_810sp2.jar |
Standar resources
|
Property |
Value |
CVE |
NULL |
BID |
NULL |
Other resources
|
BEA Systems Inc. Security Advisory BEA04-57.00
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_57.00.jsp |