La función JndiFramesetAction no valida de forma adecuada las entradas del parámetro, por lo que un usuario remoto puede crear una URL maliciosa que, una vez cargada por una víctima con perfil de administrador, provocaría la ejecución de código script en su navegador.
El código se originaría desde el software de administración de consola de Weblogic y se ejecutaría en el contexto de seguridad de dicho sitio, con lo que el código podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
De momento BEA no ha publicado parches que corrijan este problema, por lo que se recomienda filtrar las entradas que llegan a dicha aplicación.
Dell pretende que "las organizaciones puedan utilizar continuamente los últimos avances de IA en el…
Introduce cinco nuevas soluciones HPE Cray con arquitectura de refrigeración líquida directa y dos servidores…
Las entradas para acudir a este parque temático que defiende un turismo sostenible saldrán a…
Amplía la disponibilidad de actualizaciones y parches críticos para ambos sistemas operativo hasta agosto de…
Con esta actualización acelera las cargas de trabajo de Kubernetes para máquinas virtuales, bases de…
Su cometido pasa por consolidar y ampliar el ecosistema industrial en España y Portugal.