BEA WebLogic Server 5.1/6.1/7.0/7.0.0.1 Certificate schwache Authentisierung

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.2$0-$5k0.00

In BEA WebLogic Server 5.1/6.1/7.0/7.0.0.1 (Application Server Software) wurde eine kritische Schwachstelle gefunden. Das betrifft ein unbekannter Codeblock der Komponente Certificate Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-290. Auswirkungen sind zu beobachten für Vertraulichkeit und Integrität.

Die Schwachstelle wurde am 12.05.2003 an die Öffentlichkeit getragen. Sie gilt als leicht ausnutzbar. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Für den Vulnerability Scanner Nessus wurde am 14.05.2003 ein Plugin mit der ID 11628 (WebLogic SSL Certificate Chain User Spoofing) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Web Servers zugeordnet und im Kontext r ausgeführt.

Ein Upgrade vermag dieses Problem zu beheben.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (11985) und Tenable (11628) dokumentiert.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.5
VulDB Meta Temp Score: 6.2

VulDB Base Score: 6.5
VulDB Temp Score: 6.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Schwache Authentisierung
CWE: CWE-290 / CWE-287
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 11628
Nessus Name: WebLogic SSL Certificate Chain User Spoofing
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Timelineinfo

12.05.2003 🔍
12.05.2003 +0 Tage 🔍
14.05.2003 +2 Tage 🔍
19.10.2003 +158 Tage 🔍
06.07.2016 +4644 Tage 🔍
17.02.2019 +956 Tage 🔍

Quelleninfo

Hersteller: oracle.com

Status: Nicht definiert
X-Force: 11985
Vulnerability Center: 2621 - Certificate Spoofing in BEA WebLogic Server, Express and Enterprise, Medium

Eintraginfo

Erstellt: 06.07.2016 23:08
Aktualisierung: 17.02.2019 11:02
Anpassungen: 06.07.2016 23:08 (37), 17.02.2019 11:02 (13)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!