VULHUB ™

BEA WebLogic Server和Express 8.1至Service Pack 4和7.0至Service Pack 6版本存在多个跨站脚本攻击(XSS)漏洞，远程攻击者可以通过在登录页(LoginForm.jsp)内的(1) j_username或(2) j_password参数，(3)传给管理控制台内的错误页的参数，(4)当管理员有一个活动会话以获取cookie时的服务器控制台上的未知向量或者(5)服务器控制台上不需要活动会话但是也泄露用号码和密码的替代向量，注入任意Web脚本或HTML，并可能获取权限。

BEA WebLogic Server和Express 8.1至Service Pack 4和7.0至Service Pack 6版本存在多个跨站脚本攻击(XSS)漏洞，远程攻击者可以通过在登录页(LoginForm.jsp)内的(1) j_username或(2) j_password参数，(3)传给管理控制台内的错误页的参数，(4)当管理员有一个活动会话以获取cookie时的服务器控制台上的未知向量或者(5)服务器控制台上不需要活动会话但是也泄露用号码和密码的替代向量，注入任意Web脚本或HTML，并可能获取权限。