Когда пользователь запрашивает JSP страницу от сервера,
создаются 3 файла. Эти файлы содержат потенциально
опасную информацию. 

Например, если файл назывался file.jsp, созданные файлы будут называться:

_file$ __ JSP_StaticText.class
_file.class
_file.java 

Эти файлы сохраняются в каталоге /_pages. Проблема состоит в том, что .java файл содержит исходный текст,
к нему могут обращаться любые web-пользователи. Уязвимость может
привести к раскрытию опознавательной информации базы данных любому пользователю, который сможет
правильно составить путь к исходному .java файлу, вероятно 
так же раскрытие других типов потенциально чувствительной информации.

К файлам globals.jsa можно обращаться таким же способом. 

Уязвимость найдена в Oracle Oracle9i 9.0 — 9.0.1, Oracle Oracle9iAS Web Cache 2.0.0.0 — 2.0.0.3.



Оставить мнение