Программа: BEA WebLogic 8.1

Уязвимость позволяет злоумышленнику
произвести XSS нападение и получить доступ к
потенциально важной информации
пользователя. Уязвимость существует из-за
некорректной обработки входных данных в
параметре ‘server’ функции JndiFramesetAction.
Удаленный пользователь может создать
специально сформированный URL и выполнить
произвольный HTML сценарий в браузере жертвы.

Пример:

http://[target]:8001/console/actions/jndi/JndiFramesetAction?server= ‘<script>alert(document.cookie);</script>mydomain%3AName%3
Dmyserver%2CType%3DS

Оставить мнение