| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
In BEA WebLogic 6.0/6.1/7.0.0.1/8.1 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion der Komponente MBeansHome. Dank der Manipulation mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2003-1290 vorgenommen. Es gibt keinen verfügbaren Exploit. Es wird geraten, die betroffene Komponente zu deaktivieren.
Details
BEA Weblogic Server erhöhen die Produktivität und senken die Kosten der IT-Abteilungen, indem er eine einheitliche, vereinfachte und erweiterbare Architektur bietet. BEA Weblogic Server basiert auf Applikationsinfrastruktur-Technologien von BEA Produkten, die weltweit von tausenden Kunden eingesetzt werden. Wie der Hersteller meldet, ist es in den Versionen 6.1 bis 8.1 über MBeanHome möglich, an sensitive Daten zu kommen. Dazu ist lediglich ein anonymer Zugriff über JNDI (Java Naming and Directory Interface) erforderlich. Genaue technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. In den Versionen ab 7.0 kann der anonyme Zugriff verhindert werden. Entsprechende Details finden sich im Hersteller-Advisory. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (13752), SecurityFocus (BID 9034†), OSVDB (3064†), Secunia (SA18396†) und Vulnerability Center (SBV-10189†) dokumentiert. Die Schwachstellen VDB-390, VDB-392, VDB-393 und VDB-21153 sind ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 86730 (BEA WebLogic Server and WebLogic Express MBean Remote Information Disclosure Vulnerability) zur Prüfung der Schwachstelle an.
Derlei Designfehler haben schon so manche gute Lösung in Misskredit gebracht. Gerade wenn schwache oder gar fehlende Authentisierungs-Mechanismen das Auslesen sensitiver Daten ermöglichen, muss man an der Kompetenz der Entwickler zweifeln. Vor allem ältere Versionen, bei denen sich nicht mal eben rasch der Workaround anwenden lässt, werden so zum Upgrade gezwungen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DeaktivierenStatus: 🔍
0-Day Time: 🔍
Patch: dev2dev.bea.com
Timeline
🔍13.11.2003 🔍
17.12.2003 🔍
31.12.2003 🔍
12.01.2006 🔍
12.01.2006 🔍
13.01.2006 🔍
16.01.2006 🔍
25.01.2006 🔍
14.07.2025 🔍
Quellen
Hersteller: oracle.comAdvisory: dev2dev.bea.com
Person: http://www.bea.com
Firma: BEA
Status: Bestätigt
CVE: CVE-2003-1290 (🔍)
GCVE (CVE): GCVE-0-2003-1290
GCVE (VulDB): GCVE-100-1973
X-Force: 13752
SecurityFocus: 9034 - Multiple BEA WebLogic Server/Express Denial of Service and Information Disclosure Vulnerabilities
Secunia: 18396 - BEA WebLogic MBean Exposure of Configuration Information, Less Critical
OSVDB: 3064 - BEA WebLogic MBeanHome Config Information Disclosure
Vulnerability Center: 10189 - BEA WebLogic Server and WebLogic Express Remote Information Disclosure via RMI, Medium
Siehe auch: 🔍
Eintrag
Erstellt: 16.01.2006 10:38Aktualisierung: 14.07.2025 14:33
Anpassungen: 16.01.2006 10:38 (67), 01.12.2016 12:25 (10), 14.07.2025 14:33 (24)
Komplett: 🔍
Cache ID: 216:FA8:103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.