Oracle Fusion Middleware Cross Site Scripting (XSS) Güvenlik Açığı

Kas, 2015

By Cihan Öncü

Oracle Fusion Middleware Cross Site Scripting (XSS) Güvenlik Açığı

CVE: CVE-2015-4867

CVSS: 4.3 (MEDIUM) (AV:N/AC:M/Au:N/C:N/I:P/A:N)

Risk: ORTA

Ürün: Oracle Content Server

Etkilenen Sürümler: 10gR3 CS ve öncesi sürümler

Raporlayan: Cihan Öncü

Problem Detayları: Oracle Content Server ile birlikte gelen idcplg uygulamasının dDocName parametresi ile aktarılan girdilerin, çıktılar oluşturulurken encode edilmemesi veya yeterli seviyede filtrelenmesi nedeni ile XSS sorunu oluştuğu tespit edilmiştir.

XSS problemleri uygulamaya bağlanan kullanıcılara ait oturum bilgilerini çalmak, phising saldırıları gerçekleştirmek gibi amaçlar ile kötüye kullanılabilirler.

Çözüm/Öneri: Belirtilen problemler Oracle Ekim 2015 güncellemesi ile giderilmiştir.

Referanslar:

http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html

http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Archive :

Oracle Fusion Middleware Cross Site Scripting (XSS) Güvenlik Açığı

Oracle Weblogic Web Servis Test Client Cross Site Scripting (XSS) Güvenlik Açığı

Arama Yap

YAZARLAR

ADRESLERİMİZ

SOSYAL MEDYA

E-POSTA LİSTEMİZE ÜYE OLUN

DUYURULAR