Se ha descubierto un problema de seguridad en BEA WebLogic que podría
potencialmente permitir a usuarios sin autorización acceder a
aplicaciones web afectadas.

WebLogic es un servidor de aplicaciones de la empresa BEA Systems,
especialmente indicado para entornos dirigidos al comercio
electrónico.

El problema se da si una etiqueta «» dentro de otra etiqueta
«» tiene un asterisco como nombre especificado.
WebLogic Server interpreta esto como que podría ser cualquier usuario,
cuando en realidad debería interpretar que es todos los roles de la
aplicación web. Esto podría dar acceso a usuarios no autorizados a
zonas restringidas. El problema afecta a WebLogic Server y Express
versiones 7.0 y 8.1.

Se recomienda actualizar a la mayor brevedad posible. Las direcciones
para descargar los parches son las siguientes:

WebLogic Server y Express version 8.1 Service Pack 2:
ftp://ftpna.beasys.com/pub/releases/security/CR175310_810sp2.jar

WebLogic Server y Express version 7.0 Service Pack 5:
ftp://ftpna.beasys.com/pub/releases/security/CR175310_700sp5.jar

Antonio Román
roman@hispasec.com

Más información:

Security Advisory: (BEA04-64.00)
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_64.00.jsp

Compártelo: