Oracle Fusion Middleware Cross Site Scripting (XSS) Güvenlik Açığı
CVE: CVE-2015-4867
CVSS: 4.3 (MEDIUM) (AV:N/AC:M/Au:N/C:N/I:P/A:N)
Risk: ORTA
Ürün: Oracle Content Server
Etkilenen Sürümler: 10gR3 CS ve öncesi sürümler
Raporlayan: Cihan Öncü
Problem Detayları: Oracle Content Server ile birlikte gelen idcplg uygulamasının dDocName parametresi ile aktarılan girdilerin, çıktılar oluşturulurken encode edilmemesi veya yeterli seviyede filtrelenmesi nedeni ile XSS sorunu oluştuğu tespit edilmiştir.
XSS problemleri uygulamaya bağlanan kullanıcılara ait oturum bilgilerini çalmak, phising saldırıları gerçekleştirmek gibi amaçlar ile kötüye kullanılabilirler.
Çözüm/Öneri: Belirtilen problemler Oracle Ekim 2015 güncellemesi ile giderilmiştir.
Referanslar:
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
http://www.oracle.com/technetwork/topics/security/alerts-086861.html