JVNDB-2009-000007

[English]
JVNDB-2009-000007
Oracle WebLogic Server におけるクロスサイトスクリプティングの脆弱性
概要
Oracle（旧 BEA Systems, Inc.）が提供する Oracle WebLogic Server には、クロスサイトスクリプティングの脆弱性が存在します。 Oracle（旧 BEA Systems, Inc.）が提供する Oracle WebLogic Server は、Java Platform Enterprise Edition 5（JavaEE5）に準拠したアプリケーションサーバです。Oracle WebLogic Server にはクロスサイトスクリプティングの脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者：株式会社セキュアスカイ・テクノロジー　福森大喜氏

CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

オラクル Oracle WebLogic Server 10.3 Oracle WebLogic Server 10.0 MP1 Oracle WebLogic Server 9.2 MP3 Oracle WebLogic Server 9.1 Oracle WebLogic Server 9.0 Oracle WebLogic Server 8.1 SP6 Oracle WebLogic Server 7.0 SP7

想定される影響
ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
対策
[アップデートする] ベンダが提供する情報をもとに最新版へアップデートしてください。詳しくはベンダが提供する情報をご確認ください。
ベンダ情報
オラクル Critical Patch Updates and Security Alerts : Critical Patch Updates and Security Alerts Critical Patch Updates and Security Alerts : cpujan2009 Security Advisories and Notifications : 2811 オラクル・セキュリティ・アラート : 090116_85
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトスクリプティング(CWE-79) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2008-5461
参考情報
JVN : JVN#93431860 JVN : JVNTA09-015A National Vulnerability Database (NVD) : CVE-2008-5461 US-CERT Technical Cyber Security Alert : TA09-015A Secunia Advisory : SA33526 SecurityFocus : 33177 VUPEN Security : VUPEN/ADV-2009-0115 JVN iPedia (English) : JVNDB-2009-000007
更新履歴
[2009年01月20日] 掲載


公表日	2009/01/20
登録日	2009/01/20
最終更新日	2009/01/20

Oracle WebLogic Server におけるクロスサイトスクリプティングの脆弱性