Vulnerabilities > CVE-2009-3396 - HTML Injection vulnerability in Oracle WebLogic Server Administration Console

047910
CVSS 4.3 - MEDIUM
Attack vector
NETWORK
Attack complexity
MEDIUM
Privileges required
NONE
Confidentiality impact
NONE
Integrity impact
PARTIAL
Availability impact
NONE
network
oracle

Summary

Unspecified vulnerability in the WebLogic Server component in BEA Product Suite 9.0, 9.1, 9.2.3, 10.0.1, and 10.3 allows remote attackers to affect integrity, related to WLS Console.

Seebug

bulletinFamilyexploit
descriptionBUGTRAQ ID: 36766 CVE(CAN) ID: CVE-2009-3396 WebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。 WebLogic Server的管理控制台存在HTML注入漏洞,远程攻击者可以通过提交恶意的URL请求获得WebLogic管理员的会话Cookie,之后利用这个Cookie获得对控制台的管理访问。 即使在通过HTTPS访问管理控制台和启用了管理端口的情况下也可以利用这个漏洞。 Oracle WebLogic Server 10.3 临时解决方法: * 禁用WebLogic管理控制台。 厂商补丁: Oracle ------ Oracle已经为此发布了一个安全公告(cpuoct2009)以及相应补丁: cpuoct2009:Oracle Critical Patch Update Advisory - October 2009 链接:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html
idSSV:12574
last seen2017-11-19
modified2009-11-05
published2009-11-05
reporterRoot
titleOracle WebLogic Server管理控制台HTML注入漏洞