Когда пользователь запрашивает JSP страницу от сервера,
создаются 3 файла. Эти файлы содержат потенциально
опасную информацию.
Например, если файл назывался file.jsp, созданные файлы будут называться:
_file$ __ JSP_StaticText.class
_file.class
_file.java
Эти файлы сохраняются в каталоге /_pages. Проблема состоит в том, что .java файл содержит исходный текст,
к нему могут обращаться любые web-пользователи. Уязвимость может
привести к раскрытию опознавательной информации базы данных любому пользователю, который сможет
правильно составить путь к исходному .java файлу, вероятно
так же раскрытие других типов потенциально чувствительной информации.
К файлам globals.jsa можно обращаться таким же способом.
Уязвимость найдена в Oracle Oracle9i 9.0 - 9.0.1, Oracle Oracle9iAS Web Cache 2.0.0.0 - 2.0.0.3.
