VULHUB ™

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration和Liquid Data等。 BEA Systems多个产品包含跨站脚本执行问题，远程攻击者可以利用这个漏洞获得用于基于验证的COOKIE信息或进行其他攻击。 上述系统存在两个类型的XSS漏洞： 1、问题存在于Servlet container中，当浏览器发送转发指令时可产生此漏洞，静态URL如\" http：//www.bea.com \"不能被利用，只要当一些类似如下的动态URL请求时会触发跨站脚本执行问题： \"http：//www.bea.com?username=\" + request.getParameter(\"user\") 任意应用程序在转发过程汇总支持动态生成URL会包含此漏洞。 2、WebLogic Server控制台应用程序存在一系列漏洞。这些漏洞就针对一些拥有管理员权限的用户有威胁(如\"Admin\"， \"Monitor\"， \"Deployer\"，和\"Operator\")。特权用户可以被诱骗点击URL而导致泄露敏感信息或者其他漏洞。

BEA Systems WebLogic包含多种应用系统集成方案，包括Server/Express/Integration和Liquid Data等。 BEA Systems多个产品包含跨站脚本执行问题，远程攻击者可以利用这个漏洞获得用于基于验证的COOKIE信息或进行其他攻击。 上述系统存在两个类型的XSS漏洞： 1、问题存在于Servlet container中，当浏览器发送转发指令时可产生此漏洞，静态URL如\" http：//www.bea.com \"不能被利用，只要当一些类似如下的动态URL请求时会触发跨站脚本执行问题： \"http：//www.bea.com?username=\" + request.getParameter(\"user\") 任意应用程序在转发过程汇总支持动态生成URL会包含此漏洞。 2、WebLogic Server控制台应用程序存在一系列漏洞。这些漏洞就针对一些拥有管理员权限的用户有威胁(如\"Admin\"， \"Monitor\"， \"Deployer\"，和\"Operator\")。特权用户可以被诱骗点击URL而导致泄露敏感信息或者其他漏洞。