Vulnerabilidad cross site scripting en BEA WebLogic 8.1

Otras noticias

Más noticias

En el foro

Ir al foro de Seguridad

VULNERABILIDADES

Vulnerabilidad cross site scripting en BEA WebLogic 8.1

Se ha descubierto una vulnerabilidad en la consola de administración de BEA WebLogic 8.1 que permitiría a un usuario malicioso realizar ataques de tipo cross site scripting.

02 May 2005 | HISPASEC.COM

^L
a función 'JndiFramesetAction' no valida de forma adecuada las
entradas del parámetro, por lo que un usuario remoto puede crear una URL maliciosa que, una vez cargada por una víctima con perfil de administrador, provocaría la ejecución de código script en su navegador.

El código se originaría desde el software de administración de
consola de Weblogic y se ejecutaría en el contexto de seguridad
de dicho sitio, con lo que el código podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

De momento BEA no ha publicado parches que corrijan este problema, por lo que se recomienda filtrar las entradas que llegan a dicha aplicación.

Más información:

BEA WebLogic Administration Console Input Validation Hole in 'JndiFramesetAction' Permits Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2005/Apr/1013829.html; Lee opiniones sobre Software de seguridad.
Boletín: Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios

LaFlecha.net no se hace responsable del contenido de los comentarios publicados.

Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario

BBCode (Ayuda): [b], [i], [quote], [code]

Publicidad

Ahora en LaFlecha puedes encontrar cursos y másters

usuario
clave