BEA WebLogic Server和Express密码泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201802 漏洞类型 设计错误
发布时间 2004-04-13 更新时间 2005-10-28
CVE编号 CVE-2004-1758 CNNVD-ID CNNVD-200404-023
漏洞平台 N/A CVSS评分 4.6
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200404-023
|漏洞详情
BEASystemsWebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。BEAWebLogicServer和Express在部分配置环境下密码存储存在问题,本地攻击者可以利用这个漏洞获得敏感密码信息。当服务器配置为采用非目标JDBC连接池并配置了数据库用户名和密码,WebLogicServer/Express就会把数据库密码信息以明文方式写入到配置文件中。攻击者获得这些密码后可以访问数据库。
|参考资料

来源:US-CERTVulnerabilityNote:VU#920238
名称:VU#920238
链接:http://www.kb.cert.org/vuls/id/920238
来源:XF
名称:bea-configxml-plaintext-password(15860)
链接:http://xforce.iss.net/xforce/xfdb/15860
来源:BID
名称:10131
链接:http://www.securityfocus.com/bid/10131
来源:dev2dev.bea.com
链接:http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_53.00.jsp
来源:OSVDB
名称:5297
链接:http://www.osvdb.org/5297
来源:SECTRACK
名称:1009764
链接:http://securitytracker.com/id?1009764
来源:SECUNIA
名称:11357
链接:http://secunia.com/advisories/11357