BEA WebLogic 5.1/6.1/7.0/8.1 HTTP TRACE containing الكشف عن المعلومات
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
الملخص
تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في BEA WebLogic 5.1/6.1/7.0/8.1. تتعلق المشكلة بالوظيفة $software_function في الملف containing في المكون HTTP TRACE Handler. عند التلاعب ينتج الكشف عن المعلومات.
تُعرف هذه الثغرة باسم CVE-2004-2320. يمكن شن الهجوم هذا عن بعد. لا يتوفر أي استغلال.
يُفضل تثبيت تحديث لحل هذه المشكلة.
التفاصيل
تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في BEA WebLogic 5.1/6.1/7.0/8.1. تتعلق المشكلة بالوظيفة $software_function في الملف containing في المكون HTTP TRACE Handler. عند التلاعب ينتج الكشف عن المعلومات. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-200. المشكلة تم الإبلاغ عنها بتاريخ 27/01/2004 بواسطة BEA Systems مع BEA (موقع إلكتروني). تمت مشاركة التنبيه للتنزيل على dev2dev.bea.com.
تُعرف هذه الثغرة باسم CVE-2004-2320. تم تخصيص CVE في 16/08/2005. يمكن شن الهجوم هذا عن بعد. تتوفر معلومات تقنية. لا يتوفر أي استغلال. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1592.
كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $0-$5k. يوفر ماسح الثغرات Nessus إضافة بالمعرف 14722. تم إسناده إلى عائلة CGI abuses. يعمل البرنامج الإضافي في بيئة النوع r. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق86473 (Web Server HTTP Trace/Track Method Support Cross-Site Tracing Vulnerability).
التحديث متوفر للتنزيل على ftpna.beasys.com. يُفضل تثبيت تحديث لحل هذه المشكلة.
يمكن التعرف على محاولات الهجوم من خلال معرّف Snort 2056. كما أنه من الممكن اكتشاف ومنع هذا النوع من الهجمات عبر TippingPoint وفلتر 6018. إذا كانت قائمة قواعد بيانات المصدر تحتوي على عناصر، فإن الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 9506), X-Force (14959), Secunia (SA10726), SecurityTracker (ID 1008866) , Vulnerability Center (SBV-11660).
منتج
النوع
المجهز
الأسم
النسخة
الرخصة
موقع إلكتروني
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.8VulDB الدرجة المؤقتة للميتا: 5.4
VulDB الدرجة الأساسية: 6.3
VulDB الدرجة المؤقتة: 5.5
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
ADP CISA الدرجة الأساسية: 5.3
ADP CISA متجه: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: الكشف عن المعلوماتCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير مثبت
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 14722
Nessus الأسم: WebLogic < 8.1 SP3 Multiple Vulnerabilities
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
OpenVAS ID: 11213
OpenVAS الأسم: http TRACE XSS attack
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Qualys ID: 🔍
Qualys الأسم: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: تصحيحالحالة: 🔍
زمن الهجوم الفوري: 🔍
تصحيح: ftpna.beasys.com
Snort ID: 2056
Snort رسالة: SERVER-WEBAPP TRACE attempt
Snort الفئة: 🔍
TippingPoint: 🔍
SourceFire IPS: 🔍
Fortigate IPS: 🔍
الجدول الزمني
27/01/2004 🔍27/01/2004 🔍
27/01/2004 🔍
27/01/2004 🔍
28/01/2004 🔍
14/09/2004 🔍
31/12/2004 🔍
31/12/2004 🔍
16/08/2005 🔍
29/05/2006 🔍
04/12/2008 🔍
28/05/2026 🔍
المصادر
المجهز: oracle.comاستشارة: dev2dev.bea.com
باحث: BEA Systems
منظمة: BEA
الحالة: مؤكد
CVE: CVE-2004-2320 (🔍)
GCVE (CVE): GCVE-0-2004-2320
GCVE (VulDB): GCVE-100-493
CERT: 🔍
X-Force: 14959 - BEA WebLogic Server and Express HTTP TRACE cross-site scripting, Medium Risk
SecurityFocus: 9506 - WebLogic Server and Express HTTP TRACE Credential Theft Vulnerability
Secunia: 10726 - BEA WebLogic HTTP TRACE Response Cross-Site Scripting Issue, Not Critical
OSVDB: 50485 - IBM Hardware Management Console (HMC) HTTP TRACE Method XSS
SecurityTracker: 1008866
Vulnerability Center: 11660 - BEA WebLogic Server XSS and XST, Medium
متفرقات: 🔍
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 28/01/2004 11:12 AMتم التحديث: 28/05/2026 09:41 PM
التغييرات: 28/01/2004 11:12 AM (104), 27/06/2019 04:56 PM (2), 21/11/2024 08:31 PM (17), 28/05/2026 09:41 PM (11)
كامل: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق