Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Vulnerabilidad cross site scripting en BEA WebLogic 8.1

Vulnerabilidad cross site scripting en BEA WebLogic 8.1

Por Leave a Comment

Se ha descubierto una vulnerabilidad en la consola de administración
de BEA WebLogic 8.1 que permitiría a un usuario malicioso realizar
ataques de tipo cross site scripting.

La función ‘JndiFramesetAction’ no valida de forma adecuada las
entradas del parámetro, por lo que un usuario remoto puede crear
una URL maliciosa que, una vez cargada por una víctima con perfil
de administrador, provocaría la ejecución de código script en su
navegador. El código se originaría desde el software de administración
de consola de Weblogic y se ejecutaría en el contexto de seguridad
de dicho sitio, con lo que el código podría acceder a las cookies
(incluyendo las de autenticación) y a información recientemente
enviada, además de poder realizar acciones en el sitio haciéndose
pasar por la víctima.

De momento BEA no ha publicado parches que corrijan este problema,
por lo que se recomienda filtrar las entradas que llegan a dicha
aplicación.

Julio Canto
jcanto@hispasec.com

Más información:

BEA WebLogic Administration Console Input Validation Hole in ‘JndiFramesetAction’ Permits Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2005/Apr/1013829.html

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.