| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.8 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in BEA WebLogic Server bis 8.1 SP2 gefunden. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion. Dank der Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2004-0471 vorgenommen. Zusätzlich gibt es einen verfügbaren Exploit.
Details
Eine Schwachstelle wurde in BEA WebLogic Server bis 8.1 SP2 (Application Server Software) ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist ein unbekannter Codeteil. Dank der Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-404. Die Auswirkungen sind bekannt für die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
BEA WebLogic Server and WebLogic Express 7.0 through SP5 and 8.1 through SP2 does not enforce site restrictions for starting and stopping servers for users in the Admin and Operator security roles, which allows unauthorized users to cause a denial of service (service shutdown).Die Schwachstelle wurde am 12.05.2004 (Website) herausgegeben. Das Advisory findet sich auf dev2dev.bea.com. Die Verwundbarkeit wird seit dem 13.05.2004 mit der eindeutigen Identifikation CVE-2004-0471 gehandelt. Die Ausnutzbarkeit ist als leicht bekannt. Umgesetzt werden muss der Angriff lokal. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein Exploit zur Schwachstelle bekannt.
Es wurde schon vor und nicht nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 86655 (BEA WebLogic Server and WebLogic Express Denial of Service Vulnerability) zur Prüfung der Schwachstelle an.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (16121), SecurityFocus (BID 10327†), OSVDB (6077†), Secunia (SA11594†) und SecurityTracker (ID 1010129†) dokumentiert. Die Schwachstellen VDB-21922 sind ähnlich. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.0VulDB Meta Temp Score: 3.8
VulDB Base Score: 4.0
VulDB Temp Score: 3.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
11.05.2004 🔍11.05.2004 🔍
11.05.2004 🔍
12.05.2004 🔍
12.05.2004 🔍
12.05.2004 🔍
13.05.2004 🔍
02.06.2004 🔍
07.07.2004 🔍
17.10.2014 🔍
12.07.2025 🔍
Quellen
Hersteller: oracle.comAdvisory: dev2dev.bea.com
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2004-0471 (🔍)
GCVE (CVE): GCVE-0-2004-0471
GCVE (VulDB): GCVE-100-21923
X-Force: 16121
SecurityFocus: 10327 - BEA WebLogic Server and WebLogic Express Denial of Service Vulnerability
Secunia: 11594
OSVDB: 6077 - BEA WebLogic Unprivileged Stop/Start
SecurityTracker: 1010129
Vulnerability Center: 4389 - WebLogic Server and WebLogic Express Security Bypass Vulnerability, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 17.10.2014 16:28Aktualisierung: 12.07.2025 20:41
Anpassungen: 17.10.2014 16:28 (63), 21.05.2019 17:39 (6), 12.07.2025 20:41 (18)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.