BEA WebLogic Server和WebLogic Express多个远程漏洞 CVE-2005-1747 CNNVD-200505-1155

6.8 AV AC AU C I A
发布: 2005-05-24
修订: 2018-10-30

BEA WebLogic Server和Express 8.1至Service Pack 4和7.0至Service Pack 6版本存在多个跨站脚本攻击(XSS)漏洞,远程攻击者可以通过在登录页(LoginForm.jsp)内的(1) j_username或(2) j_password参数,(3)传给管理控制台内的错误页的参数,(4)当管理员有一个活动会话以获取cookie时的服务器控制台上的未知向量或者(5)服务器控制台上不需要活动会话但是也泄露用号码和密码的替代向量,注入任意Web脚本或HTML,并可能获取权限。

0%
暂无可用Exp或PoC
当前有76条受影响产品信息