Программа: BEA Tuxedo 6.x, BEA Tuxedo 7.x, BEA Tuxedo 8.x, BEA WebLogic Enterprise 4.x, BEA WebLogic Enterprise 5.x. 

Уязвимость обнаружена в BEA Tuxedo и WebLogic Enterprise. Злонамеренный пользователь может выполнить XSS нападение, вызвать отказ в обслуживании или определить существование файлов. 

1. Раскрытие пути – представляя различные пути в качестве параметра при запуске программы, можно определить существование файла на системе. 

2. Отказ в обслуживании – атакующий может представить имя устройства вместо имени файла в качестве одного из параметров запуска, чтобы завесить работу административной консоли. 

3. Cross-Site Scripting (XSS) – пользователь может представить специально обработанное имя файла к административной консоли, чтобы выполнить произвольный код сценария в возвращенной странице.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии