|
Duyuru Tarihi: 12 Mayıs 2008
Açıklama: Oracle Application Server Portal (OracleAS
Portal) uygulamalar geliştirmek ve yayınlamak için kullanılan
web uygulamasıdır.
Korunan alanlara erişim kontrolünü düzgün gerçekleştiremediği
için sağladığı yetkilendirme fonksiyonlarını devre dışı
bırakarak, korunan içeriğe erişmek mümkün olmaktadır.
Örnek İstek:
/dav_portal/portal
dizin içeriği normalde basic authentication ile korunmasına
rağmen aşağıdaki gibi bir istekten sonra browser ile aynı dizine
erişim yapılmaya çalışıldığı zaman içerik görülebilmektedir.
http://site/pls/portal/%0A
http://site/dav_portal/portal/
İlk istek sebebi ile
cookie'ye eklenen sessionID bilgisi ikinci istekteki basic
authentication gerekliliğini ortadan kaldırmaktadır.
Etkilenen Yazılım/Donanım: Oracle Application Server Portal
Etkilenen Sürüm: 10G
Etki Alanı: Uzaktan Erişim
Risk Seviyesi: Orta
BID:
29119
CVE:
CVE-2008-2138
|
Türkçe | 
