WebLogic Server和Express HTTP TRACE Credential Theft 漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1200629 漏洞类型 信息泄露
发布时间 2004-01-27 更新时间 2008-12-05
CVE编号 CVE-2004-2320 CNNVD-ID CNNVD-200412-533
漏洞平台 N/A CVSS评分 5.8
|漏洞来源
https://www.securityfocus.com/bid/9506
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-533
|漏洞详情
BEAWebLogicServer和Express8.1SP2及其以前的版本,7.0SP4及其以前的版本,6.1至SP6,和5.1至SP13版本的默认配置响应HTTPTRACE请求,远程攻击者使用跨站跟踪攻击(XST)盗取信息,该攻击在易受跨站脚本影响的应用进程中。
|受影响的产品
IBM Hardware Management Console (HMC) 6.1.3 BEA Systems WebLogic Server for Win32 8.1 SP 2 BEA Systems WebLogic Server for Win32 8.1 SP 1 BEA Systems WebLogic Server for Win32 8.1 BEA Sys
|参考资料

来源:US-CERTVulnerabilityNote:VU#867593
名称:VU#867593
链接:http://www.kb.cert.org/vuls/id/867593
来源:XF
名称:weblogic-trace-xss(14959)
链接:http://xforce.iss.net/xforce/xfdb/14959
来源:SECTRACK
名称:1008866
链接:http://www.securitytracker.com/alerts/2004/Jan/1008866.html
来源:BID
名称:9506
链接:http://www.securityfocus.com/bid/9506
来源:BEA
名称:BEA04-48.01
链接:http://dev2dev.bea.com/pub/advisory/68
来源:OSVDB
名称:3726
链接:http://www.osvdb.org/3726
来源:SECUNIA
名称:10726
链接:http://secunia.com/advisories/10726