Biznet BilişimBiznet Bilişim

By Cihan Öncü

Oracle Fusion Middleware Cross Site Scripting (XSS) Güvenlik Açığı

CVE: CVE-2015-4867

CVSS: 4.3 (MEDIUM) (AV:N/AC:M/Au:N/C:N/I:P/A:N)

Risk: ORTA

Ürün: Oracle Content Server

Etkilenen Sürümler: 10gR3 CS ve öncesi sürümler

Raporlayan: Cihan Öncü

Problem Detayları: Oracle Content Server ile birlikte gelen idcplg uygulamasının dDocName parametresi ile aktarılan girdilerin, çıktılar oluşturulurken encode edilmemesi veya yeterli seviyede filtrelenmesi nedeni ile XSS sorunu oluştuğu tespit edilmiştir.

XSS problemleri uygulamaya bağlanan kullanıcılara ait oturum bilgilerini çalmak, phising saldırıları gerçekleştirmek gibi amaçlar ile kötüye kullanılabilirler.

Çözüm/Öneri: Belirtilen problemler Oracle Ekim 2015 güncellemesi ile giderilmiştir.

Referanslar:

http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html

http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Oracle Fusion Middleware Cross Site Scripting (XSS) Güvenlik Açığı