La función JndiFramesetAction no valida de forma adecuada las entradas del parámetro, por lo que un usuario remoto puede crear una URL maliciosa que, una vez cargada por una víctima con perfil de administrador, provocaría la ejecución de código script en su navegador.
El código se originaría desde el software de administración de consola de Weblogic y se ejecutaría en el contexto de seguridad de dicho sitio, con lo que el código podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
De momento BEA no ha publicado parches que corrijan este problema, por lo que se recomienda filtrar las entradas que llegan a dicha aplicación.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…