Cross-Site-Scripting-LĂĽcke in Oracles Application Server
Eine Schwachstelle in Oracles Application Server erlaubt Angreifern, beliebigen JavaScript-Code im Browser von Anwendern auszufĂĽhren.
Eine Schwachstelle in Oracles Application Server erlaubt Angreifern, beliebigen JavaScript-Code im Browser von Anwendern auszuführen. Ein Anwender Namens Sea Shark hat eine Beispieladresse für eine Oracle-Portal-Seite (PORTAL.wwv_main.render_warning_screen) veröffentlicht, die die Lücke demonstriert.
Analysen des Sicherheitsdienstleisters FrSIRT zufolge beruht die Sicherheitslücke auf einer fehlerhaften Überprüfung von Benutzereingaben im Dynamic Monitoring Service (DMS). Dabei patzt der DMS bei der Prüfung des table-Parameters, wodurch bösartige Individuen beispielsweise mit präparierten Links in E-Mails dem Anwender JavaScript-Code unterschieben können, der im Browser mit der Sicherheitsstufe der Webanwendung ausgeführt wird.
Oracle-Portal-Nutzer sollten die Webanwendung daher nicht ĂĽber Links in E-Mails oder in dubiosen Webseiten ansurfen, sondern ĂĽber Bookmarks darauf zugreifen.
Siehe dazu auch:
- Oracle Portal PORTAL.wwv_main.render_warning_screen XSS, Sicherheitsmeldung von Sea Shark
- Oracle Application Server "table" Parameter Handling Cross Site Scripting Vulnerability, Analyse des FrSIRT
(dmk)
