Oracle应用服务器是一个综合解决方案,用于开发、集成和部署企业的应用系统、门户和网站。
Oracle应用服务Reports Web Cartridge在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在用户浏览器中执行恶意脚本代码。
在使用Oracle应用服务器处理Web客户端请求时,报表服务器必需Reports Web CGI或Web Cartridge。由于没有正确验证genuser参数,远程攻击者可以在输入中注入任意脚本并在客户端浏览器中执行。这一漏洞在认证表单中尤其严重,因为恶意用户可以通过这种攻击获得其他用户的认证凭据。
Oracle Application Server Release 2, 9.0.2.3
Oracle已经为此发布了一个安全公告(cpujan2007)以及相应补丁:
cpujan2007:Oracle Critical Patch Update - January 2007
链接:<a href="http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html?_template=/o" target="_blank">http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html?_template=/o</a>
共 1 兑换
京公网安备 11010502034610号
暂无评论