Oracle企业安全搜索（SES）存在跨站脚本漏洞

名称：Oracle企业安全搜索（SES）存在跨站脚本漏洞

相关系统：Oracle Secure Enterprise Search 10.1.6-SES

严重程度：中等风险 类别：跨站点脚本（XSS/CSS）

厂商URL： http://www.oracle.com/

作者：Alexander Kornbrust (ak ata dbappsecurity.com) CVE

日期：2007-4-17 （V 1.00）

详细资料： Oracle Secure Enterprise Search 10g 是Oracle的一个独立产品，用于实现企业所有信息资产安全、高效、易用的搜索。在boundary_rules.jsp中的EXPTYPE参数可能导致跨站脚本漏洞。

使用：

http://www.red-database-security.com:7777/search/admin/sources/boundary_rules.jsp?
event=deleteIncludeRule&p_src=web&p_mode=edit&p_id=3&pattern=
www.red-database-security.com&expType=%3Cscript%3Ealert(document.cookie)%3C/
script%3ECC_SIMPLE_INCLUSION'

相关产品： Oracle Enterprise Search ﹤10.1.8

补丁信息： 请升级到SES的最新版本或者使用CPU April 2007.

历史：

2005-4-5 发出Oracle 安全警告

2005-4-6 确认缺陷

2007-4-17 发布CPU April 2007

2007-4-17 Red-Database-Security 发布这项报告