L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Multiple Cross Sites Scripting

Synthèse de la vulnérabilité 

Plusieurs Cross Site Scripting sont présents dans le serveur BEA WebLogic.
Systèmes vulnérables : WebLogic.
Gravité de cette menace : 2/4.
Date de création : 07/08/2003.
Date de révision : 31/10/2003.
Références de cette faille : BEA03-36.00, BEA-036, BID-8357, BID-8938, CVE-2003-0624, V6-WEBLOGICMULXSS, VIGILANCE-VUL-3710.

Description de la vulnérabilité 

Le serveur WebLogic délivre des documents générés dynamiquement. Certains d'entre eux emploient des données fournies par le client.

Cependant, dans certains cas, ces données ne sont pas purgées avant d'être affichées. Une attaque de type Cross Site Scripting est alors possible. BEA indique que les points suivants sont vulnérables :
 - url dynamiques
 - console d'administration
 - exemples

Ces différentes vulnérabilités peuvent alors permettre à un attaquant d'accéder aux fonctionnalités du serveur avec les droits de l'utilisateur.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte sécurité concerne les logiciels ou systèmes comme WebLogic.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin cybersécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cet avis de vulnérabilité informatique.

Solutions pour cette menace 

Solution pour Multiple Cross Sites Scripting.
La solution dépend de la version installée :
 - WebLogic Server 7.0 :
     - installer le SP4, ou
     - installer le SP3 et ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp3.jar
 - WebLogic Server 6.1 :
     - installer le SP6, ou
     - installer le SP5 et ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp5.jar
 - WebLogic Server 5.1 :
     - installer le SP, ou
     - installer le SP13 et ftp://ftpna.beasys.com/pub/releases/security/CR105007_510sp13.jar
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une analyse cybersécurité. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.