Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Oracle WebLogic Server, Cross Site Scripting des exemples

janvier 2009 par Vigil@nce

Lorsque les exemples sont installés, un attaquant peut employer un Cross Site Scripting de Oracle WebLogic Server.

- Gravité : 1/4
- Conséquences : accès/droits client
- Provenance : document
- Moyen d’attaque : 1 attaque
- Compétence de l’attaquant : technicien (2/4)
- Confiance : confirmé par l’éditeur (5/5)
- Diffusion de la configuration vulnérable : moyenne (2/3)
- Date création : 16/01/2009

PRODUITS CONCERNÉS

- Oracle WebLogic Server

DESCRIPTION DE LA VULNÉRABILITÉ

L’administrateur peut installer les exemples compris dans le module reviewService :

/reviewService/createArtist_service.jsp

/reviewService/addBooks_session_ejb21.jsp

/reviewService/addReview_service.jsp

/reviewService/addReview_session.jsp

Cependant, ces exemples n’ont pas été conçus pour être installés en production. Ils ne vérifient pas les paramètres reçus avant de les afficher.

Lorsque les exemples sont installés, un attaquant peut donc provoquer un Cross Site Scripting.

CARACTÉRISTIQUES

- Références : DSECRG-09-002, VIGILANCE-VUL-8400
- Url : http://vigilance.fr/vulnerabilite/Oracle-WebLogic-Server-Cross-Site-Scripting-des-exemples-8400




Voir les articles précédents

    

Voir les articles suivants