Vigil@nce : Oracle WebLogic Server, Cross Site Scripting des exemples
janvier 2009 par Vigil@nce
Lorsque les exemples sont installés, un attaquant peut employer un
Cross Site Scripting de Oracle WebLogic Server.
– Gravité : 1/4
– Conséquences : accès/droits client
– Provenance : document
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : moyenne (2/3)
– Date création : 16/01/2009
PRODUITS CONCERNÉS
– Oracle WebLogic Server
DESCRIPTION DE LA VULNÉRABILITÉ
L’administrateur peut installer les exemples compris dans le
module reviewService :
/reviewService/createArtist_service.jsp
/reviewService/addBooks_session_ejb21.jsp
/reviewService/addReview_service.jsp
/reviewService/addReview_session.jsp
Cependant, ces exemples n’ont pas été conçus pour être installés
en production. Ils ne vérifient pas les paramètres reçus avant de
les afficher.
Lorsque les exemples sont installés, un attaquant peut donc
provoquer un Cross Site Scripting.
CARACTÉRISTIQUES
– Références : DSECRG-09-002, VIGILANCE-VUL-8400
– Url : http://vigilance.fr/vulnerabilite/Oracle-WebLogic-Server-Cross-Site-Scripting-des-exemples-8400