La función JndiFramesetAction no valida de forma adecuada las entradas del parámetro, por lo que un usuario remoto puede crear una URL maliciosa que, una vez cargada por una víctima con perfil de administrador, provocaría la ejecución de código script en su navegador.
El código se originaría desde el software de administración de consola de Weblogic y se ejecutaría en el contexto de seguridad de dicho sitio, con lo que el código podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
De momento BEA no ha publicado parches que corrijan este problema, por lo que se recomienda filtrar las entradas que llegan a dicha aplicación.
La consultora explica que muchos vendedores redujeron sus objetivos en el segundo trimestre para "evitar…
Este repositorio potencia la inteligencia artificial agéntica y unifica todas las señales de seguridad, tanto…
Desde creadores de experiencia de usuario a especialistas en hiperautomatización, son varios los perfiles que…
Estrés, problemas de presupuesto y a nivel de innovación están impactando a los miembros de…
El 71 % de los españoles en edad laboral considera que no recibe demasiada información…
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…