CVE-2003-1290 (CNNVD-200312-426)

MEDIUM
中文标题:
BEA WebLogic Server/Express远程拒绝服务和信息泄露漏洞
英文标题:
BEA WebLogic Server and WebLogic Express 6.1, 7.0, and 8.1, with RMI and anonymous admin lookup enab...
CVSS分数: 5.0
发布时间: 2006-01-13 11:00:00
漏洞类型: 授权问题
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

BEA Systems WebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。 BEA Systems WebLogic Server和Express包含多个问题,远程攻击者可以利用这个漏洞进行拒绝服务攻击者或者获得敏感信息。 具体问题如下: 1、通过WebLogic Server插件发送不正确格式URL给WEbLogic Server或Express,不正确的URL会导致代理插件崩溃,使得WEB站点不能访问。如果不使用WebLogic服务代理插件的站点不受此漏洞影响。 2、当通过SSL Over T3访问Weblogic服务程序但在URL中指定的是非安全服务端口就会触发此漏洞,如当URL"t3s://myhost:7001"使用"t3s://myhost:7002"代替时,虽然使用了"t3s"连接但还会使用非SSL连接。当尝试在非安全端口上使用SSL会导致应用程序异常而产生拒绝服务。 3、当使用外部JMS提供器(foreign JMS provider),JMS提供器weblogic.management.configuration.ForeignJMSConnectionFactoryMBean密码字段在控制台上会以明文方式显示,并存储在config.xml文件中时也以明文方式。这可导致密码信息泄露。 4、当部分错误数据发送给节点管理器监听的端口,可导致节点管理器崩溃和不能恢复。在正常操作时不会发生,只有当不正规数据发送给端口时才会产生拒绝服务,如使用NMAP进行扫描。 5、默认情况下,站点的MBeanHome可以被匿名用户从JNDI中获得,从MBeanHome中,许多MBeans配置可以被获得和检查。虽然这不属于已知安全漏洞的范畴,BEA Systems认为考虑到最佳安全策略,需要拒绝任何攻击者访问过多的配置数据。

英文描述:

BEA WebLogic Server and WebLogic Express 6.1, 7.0, and 8.1, with RMI and anonymous admin lookup enabled, allows remote attackers to obtain configuration information by accessing MBeanHome via the Java Naming and Directory Interface (JNDI).

CWE类型:
(暂无数据)
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
bea weblogic_server 6.0 - - cpe:2.3:a:bea:weblogic_server:6.0:*:win32:*:*:*:*:*
bea weblogic_server 6.1 - - cpe:2.3:a:bea:weblogic_server:6.1:*:win32:*:*:*:*:*
bea weblogic_server 7.0 - - cpe:2.3:a:bea:weblogic_server:7.0:*:win32:*:*:*:*:*
bea weblogic_server 7.0.0.1 - - cpe:2.3:a:bea:weblogic_server:7.0.0.1:*:win32:*:*:*:*:*
bea weblogic_server 8.1 - - cpe:2.3:a:bea:weblogic_server:8.1:*:express:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
BEA03-43.00 vendor-advisory
cve.org
访问
9034 vdb-entry
cve.org
访问
10218 third-party-advisory
cve.org
访问
18396 third-party-advisory
cve.org
访问
3064 vdb-entry
cve.org
访问
16215 vdb-entry
cve.org
访问
weblogic-mbeanhome-obtain-information(13752) vdb-entry
cve.org
访问
CVSS评分详情
5.0
MEDIUM
CVSS向量: AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS版本: 2.0
机密性
PARTIAL
完整性
NONE
可用性
NONE
时间信息
发布时间:
2006-01-13 11:00:00
修改时间:
2024-08-08 02:19:46
创建时间:
2025-11-11 15:32:20
更新时间:
2025-11-11 15:48:52
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2003-1290 2025-11-11 15:17:28 2025-11-11 07:32:20
NVD nvd_CVE-2003-1290 2025-11-11 14:50:37 2025-11-11 07:41:06
CNNVD cnnvd_CNNVD-200312-426 2025-11-11 15:08:43 2025-11-11 07:48:52
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:48:52
vulnerability_type: 未提取 → 授权问题; cnnvd_id: 未提取 → CNNVD-200312-426; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 授权问题
  • cnnvd_id: 未提取 -> CNNVD-200312-426
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:41:06
cvss_score: 未提取 → 5.0; cvss_vector: NOT_EXTRACTED → AV:N/AC:L/Au:N/C:P/I:N/A:N; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 5; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • cvss_score: 未提取 -> 5.0
  • cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:N/A:N
  • cvss_version: NOT_EXTRACTED -> 2.0
  • affected_products_count: 0 -> 5
  • data_sources: ['cve'] -> ['cve', 'nvd']