BEA WebLogic 5.1/6.1/7.0/8.1 HTTP TRACE containing rivelazione di informazioni
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Riassunto
In BEA WebLogic 5.1/6.1/7.0/8.1 stata rilevata una vulnerabilità di livello problematico. Da questa vulnerabilità è interessato una funzione sconosciuta del file containing del componente HTTP TRACE Handler. L’alterazione causa rivelazione di informazioni. Questa vulnerabilità è registrata come CVE-2004-2320. L'attacco può essere lanciato dalla rete. Nessun exploit disponibile. Si suggerisce di installare una patch per risolvere questa problematica.
Dettagli
Un punto di criticita di livello problematico è stato rilevato in BEA WebLogic 5.1/6.1/7.0/8.1 (Application Server Software). Interessato da questa vulnerabilità è una funzione sconosciuta del file containing del componente HTTP TRACE Handler. Per causa della manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe rivelazione di informazioni. Questo ha effetti su riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 27/01/2004 da BEA Systems da BEA (Website) (confermato). L'advisory è scaricabile da dev2dev.bea.com. Questo punto di criticità è identificato come CVE-2004-2320. La vulnerabilità è poco apprezzata, a causa della complessità. L'attacco può avvenire nella rete. Per l'uso non è richiesta un'autentificazione. Nessun metodo di utilizzo sui dettagli tecnici disponibili.
Per lo scanned Nessus, è disponibile un plugin, numero ID 14722 (WebLogic < 8.1 SP3 Multiple Vulnerabilities), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
Applicando a patch è possibile eliminare il problema. Il bugfix è scaricabile da ftpna.beasys.com.
La vulnerabilità è documentata anche nel database X-Force (14959), Tenable (14722), SecurityFocus (BID 9506†), OSVDB (50485†) e Secunia (SA10726†). If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Prodotto
Genere
Fornitore
Nome
Versione
Licenza
Sito web
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 5.8VulDB Punteggio meta temporaneo: 5.4
VulDB Punteggio di base: 6.3
VulDB Punteggio temporaneo: 5.5
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
ADP CISA Punteggio di base: 5.3
ADP CISA Vettore: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Rivelazione di informazioniCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Stato: Non dimostrata
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Nessus ID: 14722
Nessus Nome: WebLogic < 8.1 SP3 Multiple Vulnerabilities
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍
Nessus Context: 🔍
OpenVAS ID: 11213
OpenVAS Nome: http TRACE XSS attack
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: PatchStato: 🔍
Tempo 0 giorni: 🔍
Patch: ftpna.beasys.com
Snort ID: 2056
Snort Messaggio: SERVER-WEBAPP TRACE attempt
Snort Classe: 🔍
TippingPoint: 🔍
SourceFire IPS: 🔍
Fortigate IPS: 🔍
Sequenza temporale
27/01/2004 🔍27/01/2004 🔍
27/01/2004 🔍
27/01/2004 🔍
28/01/2004 🔍
14/09/2004 🔍
31/12/2004 🔍
31/12/2004 🔍
16/08/2005 🔍
29/05/2006 🔍
04/12/2008 🔍
28/05/2026 🔍
Fonti
Fornitore: oracle.comAvis: dev2dev.bea.com
Ricercatore: BEA Systems
Organizzazione: BEA
Stato: Confermato
CVE: CVE-2004-2320 (🔍)
GCVE (CVE): GCVE-0-2004-2320
GCVE (VulDB): GCVE-100-493
CERT: 🔍
X-Force: 14959 - BEA WebLogic Server and Express HTTP TRACE cross-site scripting, Medium Risk
SecurityFocus: 9506 - WebLogic Server and Express HTTP TRACE Credential Theft Vulnerability
Secunia: 10726 - BEA WebLogic HTTP TRACE Response Cross-Site Scripting Issue, Not Critical
OSVDB: 50485 - IBM Hardware Management Console (HMC) HTTP TRACE Method XSS
SecurityTracker: 1008866
Vulnerability Center: 11660 - BEA WebLogic Server XSS and XST, Medium
Varie: 🔍
Vedi anche: 🔍
Voce
Data di creazione: 28/01/2004 11:12Aggiornato: 28/05/2026 21:41
Cambiamenti: 28/01/2004 11:12 (104), 27/06/2019 16:56 (2), 21/11/2024 20:31 (17), 28/05/2026 21:41 (11)
Completa: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.