DSECRG-09-031

Вендор

Oracle

Продукт

Oracle BEA Weblogic 10 

Тип уязвимости

Межсайтовый скриптинг

Reported

18.03.2009

Date of Public Advisory

16.07.2009

Автор

Александр Поляков

Детальное описание

Уязвимость обнаружена в скрипте сервера BEA Weblogiс, находящемся по адресу /consolehelp/console-help.portal. Уязвимый параметр - "searchQuery" 

Пример 
*********
http://testserver.com:7011//consolehelp/console-help.portal?_nfpb=true&_pageLabel=ConsoleHelpSearchPage&searchQuery="><script>alert('DSECRG')</script> 

Решение 
**********
Официальная информация об уязвимости вместе с пакетом обновлений вышла 14 июля 2009 года. Все заказчики могут скачать и установить обновления, следуя инструкциям из официального Advisory: 
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html