Oracle Portal における CRLF インジェクションの脆弱性
| Title |
Oracle Portal における CRLF インジェクションの脆弱性
|
| Summary |
Oracle Portal には、CRLF インジェクションの脆弱性が存在します。 本問題は、CVE-2006-6697 と重複する可能性があります。
|
| Possible impacts |
第三者により、CRLF シーケンスを含む (1) calendarDialog.jsp または (2) fred.jsp への enc パラメータを介して、任意の HTTP ヘッダを挿入される、および HTTP レスポンス分割攻撃を実行される可能性があります。 |
| Solution |
ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
Dec. 22, 2006, midnight |
| Registration Date |
Sept. 25, 2012, 3:36 p.m. |
| Last Update |
Sept. 25, 2012, 3:36 p.m. |
|
CVSS2.0 : 警告
|
| Score |
5
|
| Vector |
AV:N/AC:L/Au:N/C:N/I:P/A:N |
Affected System
| オラクル |
|
application server portal 9.0.2 およびその他のバージョン
|
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2012年09月25日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2006-6699
| Summary |
Multiple CRLF injection vulnerabilities in Oracle Portal 9.0.2 and possibly other versions allow remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via CRLF sequences in the enc parameter to (1) calendarDialog.jsp or (2) fred.jsp. NOTE: the calendar.jsp vector is covered by CVE-2006-6697.
|
| Summary |
Múltiples vulnerabilidades de inyección SRLF en Oracle Portal 9.0.2 y posiblemente otras versiones permiten a un atacante remoto inyectar cabeceras HTTP de su elección y conducir respuestas HTTP diviendo los ataques a través de secuencias CRLF en el parámetro enc a (1) calendarDialog.jsp o (2) fred.jsp. NOTA: el vector calendar.jsp está cubierto por CVE-2006-6697.
|
| Publication Date |
Dec. 23, 2006, 10:28 a.m. |
| Registration Date |
Jan. 29, 2021, 3:52 p.m. |
| Last Update |
April 23, 2026, 9:35 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:oracle:application_server_portal:9.0.2:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List