BEA WebLogic Server/Express管理控制台跨站脚本漏洞

漏洞信息详情

BEA WebLogic Server/Express管理控制台跨站脚本漏洞

• CNNVD编号：CNNVD-200505-829
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2005-1380
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2005-04-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  bea
• 漏洞来源：
  Alexander Kornbrus…

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。

BEA WebLogic Server和WebLogic Express管理控制台中存在远程跨站脚本漏洞，起因是应用程序在动态生成的WEB内容中包含用户提供的输入前没有正确的过滤这些输入。远程攻击者可能利用这个漏洞在用户浏览器中执行任意代码。

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://commerce.beasys.com/downloads/weblogic_server.jsp

来源: XF

名称: weblogic-jndiframesetaction-xss(20276)

链接:http://xforce.iss.net/xforce/xfdb/20276

来源: BID

名称: 13400

链接:http://www.securityfocus.com/bid/13400

来源: MISC

链接:http://www.red-database-security.com/advisory/bea_css_in_admin_console.html

来源: OSVDB

名称: 15895

链接:http://www.osvdb.org/15895

来源: SECTRACK

名称: 1013817

链接:http://securitytracker.com/alerts/2005/Apr/1013817.html

来源: SECUNIA

名称: 15128

链接:http://secunia.com/advisories/15128

来源: BUGTRAQ

名称: 20050428 Cross Site Scripting in BEA Admin Console

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111472745503010&w=2