VULHUB ™

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。 BEA WebLogic Server包含的验证提供方(Authentication Provider)存在安全问题，本地攻击者可以利用这个漏洞未授权进行管理访问。 问题存在于安全域中使用WebLogic验证提供方作为默认验证提供者的配置情况下，当下面的事件发生时会存在此问题： 1、系统管理员建立一组(如Group1)。 2、系统管理员然后建立Group2组。 3、系统管理员使Group1作为Group2成员。 4、系统管理员删除Group2然后再次建立。 虽然Group2是新组，它仍旧拥有Group1的成员，如果Group1是管理权限，那么新的Group2组也照样拥有管理员权限。有可能造成越权访问。

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。 BEA WebLogic Server包含的验证提供方(Authentication Provider)存在安全问题，本地攻击者可以利用这个漏洞未授权进行管理访问。 问题存在于安全域中使用WebLogic验证提供方作为默认验证提供者的配置情况下，当下面的事件发生时会存在此问题： 1、系统管理员建立一组(如Group1)。 2、系统管理员然后建立Group2组。 3、系统管理员使Group1作为Group2成员。 4、系统管理员删除Group2然后再次建立。 虽然Group2是新组，它仍旧拥有Group1的成员，如果Group1是管理权限，那么新的Group2组也照样拥有管理员权限。有可能造成越权访问。