PT-2021-20055 · Oracle · Oracle Glassfish Server
Francesco Giordano
·
Publicado
2021-06-25
·
Atualizado
2024-08-03
·
CVE-2021-3314
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Oracle GlassFish Server versões 3.1.2.18 e anteriores
Descrição
A vulnerabilidade permite que um usuário mal-intencionado faça com que um usuário administrador forneça conteúdo perigoso à página vulnerável, que é então refletido de volta ao usuário e executado pelo navegador da web. O mecanismo mais comum para entregar conteúdo malicioso é incluí-lo como um parâmetro em uma URL publicada publicamente ou enviada diretamente por e-mail às vítimas. Esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor.
Recomendações
Para as versões 3.1.2.18 e anteriores do Oracle GlassFish Server, considere desativar o acesso à página /common/logViewer/logViewer.jsf como uma solução temporária até que uma correção seja determinada, observando que essas versões não são mais suportadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Oracle Glassfish Server