Программа: BEA Tuxedo 6.x, BEA Tuxedo 7.x, BEA Tuxedo 8.x, BEA WebLogic Enterprise 4.x, BEA WebLogic Enterprise 5.x. 

Уязвимость обнаружена в BEA Tuxedo и WebLogic Enterprise. Злонамеренный пользователь может выполнить XSS нападение, вызвать отказ в обслуживании или определить существование файлов. 

1. Раскрытие пути – представляя различные пути в качестве параметра при запуске программы, можно определить существование файла на системе. 

2. Отказ в обслуживании – атакующий может представить имя устройства вместо имени файла в качестве одного из параметров запуска, чтобы завесить работу административной консоли. 

3. Cross-Site Scripting (XSS) – пользователь может представить специально обработанное имя файла к административной консоли, чтобы выполнить произвольный код сценария в возвращенной странице.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии