Программа: BEA Tuxedo 6.x, BEA Tuxedo 7.x, BEA Tuxedo 8.x, BEA WebLogic Enterprise 4.x, BEA WebLogic Enterprise 5.x.
Уязвимость обнаружена в BEA Tuxedo и WebLogic Enterprise. Злонамеренный пользователь может выполнить XSS нападение, вызвать отказ в обслуживании или определить существование файлов.
1. Раскрытие пути – представляя различные пути в качестве параметра при запуске программы, можно определить существование файла на системе.
2. Отказ в обслуживании – атакующий может представить имя устройства вместо имени файла в качестве одного из параметров запуска, чтобы завесить работу административной консоли.
3. Cross-Site Scripting (XSS) – пользователь может представить специально обработанное имя файла к административной консоли, чтобы выполнить произвольный код сценария в возвращенной странице.
