BEA WebLogic bis 8.1 mit SP3 Control UserLogin fehlerhafte Authentisierung gibt Passwort preis
CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
6.4 | $0-$5k | 0.00 |
BEA Weblogic Server erhöhen die Produktivität und senken die Kosten der IT-Abteilungen, indem er eine einheitliche, vereinfachte und erweiterbare Architektur bietet. BEA Weblogic Server basiert auf Applikationsinfrastruktur-Technologien von BEA Produkten, die weltweit von tausenden Kunden erfolgreich eingesetzt werden. Gleich mehrere Schwachstellen wurden in WebLogic gefunden. Der Hersteller berichtet im Advisory BEA05-78.00 von einem Designfehler im Control UserLogin. Wird dort eine Authentisierung nicht erfolgreich umgesetzt, wird fälschlicherweise das Passwort im Klartext auf dem Bildschirm ausgegeben. Drittpersonen könnten bei diesem Vorgang in den Besitz der sensitiven Informationen kommen. Der Fehler wurde im Service Pack 4 für BEA WebLogic 8.1 behoben. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (18365) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 1229, 1421, 1512 und 1518.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 18365 (BEA WebLogic <= 8.1 SP4 Multiple Vulnerabilities (XSS, DoS, ID, more)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Web Servers zugeordnet.
Wieder einmal eine Hand voller Sicherheitslücken, die BEA mit einem Schlag publik macht und mittels Patch behebt. Grundsätzlich gut für die Anwender. Aber irgendwie keine gute Bilanz, denn sind fünf Schwachstellen doch ein bisschen viel für ein derlei professionelles Produkt - Und diese Situation ist nicht das erste Mal gegeben. Es fragt sich nämlich wirklich, ob da in dieser Lösung nicht noch andere Sicherheitslücken schlummern, die dem einen oder anderen Cracker schon bekannt sind. Aber erst die Zukunft wird es zeigen können, ob da wirklich Damokles' Schwert über den WebLogic-Administratoren schwebt.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.1VulDB Meta Temp Score: 6.4
VulDB Base Score: 7.1
VulDB Temp Score: 6.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 18365
Nessus Name: BEA WebLogic <= 8.1 SP4 Multiple Vulnerabilities (XSS, DoS, ID, more)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: dev2dev.bea.com
Timeline
24.05.2005 🔍24.05.2005 🔍
24.05.2005 🔍
25.05.2005 🔍
25.05.2005 🔍
07.06.2005 🔍
11.03.2021 🔍
Quellen
Hersteller: oracle.comAdvisory: dev2dev.bea.com
Person: Mitja Kolsek
Firma: BEA Systems
Status: Bestätigt
CVE: CVE-2005-1742 (🔍)
SecurityTracker: 1014049 - BEA WebLogic Server and WebLogic Portal Have Multiple Vulnerabilities
SecurityFocus: 13717 - BEA WebLogic Server and WebLogic Express Multiple Remote Vulnerabilities
Secunia: 15486 - BEA WebLogic Multiple Vulnerabilities, Moderately Critical
Vupen: ADV-2005-0602
Siehe auch: 🔍
Eintrag
Erstellt: 07.06.2005 10:45Aktualisierung: 11.03.2021 12:29
Anpassungen: 07.06.2005 10:45 (69), 07.06.2017 16:02 (9), 11.03.2021 12:29 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.