CVE-2002-0058 (CNNVD-200203-035)

MEDIUM
中文标题:
多个厂商Java虚拟机会话劫持漏洞(MS02-013)
英文标题:
Vulnerability in Java Runtime Environment (JRE) allows remote malicious web sites to hijack or sniff...
CVSS分数: 5.0
发布时间: 2002-03-07 05:00:00
漏洞类型: 授权问题
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

一些厂商(包括Sun、Microsoft)都实现了Java虚拟机,它可以允许一些来自不可信资源的代码(例如Java applet)在虚拟机中安全的执行。 一些厂商的虚拟机实现上存在漏洞,当用户通过HTTP代理进行网络访问时,恶意的Java applet可以劫持用户的会话。 在用户用IE或者其他Web浏览器通过代理服务器进行浏览的情况下,网站上恶意的Java脚本可能利用这个漏洞,在不知不觉中把用户通过浏览器浏览的网络流量转发到攻击者控制的主机上。随后攻击者就能发送恶意回复,使之看起来象是来自原目的地,也可以丢弃对话信息,导致拒绝服务。另外,攻击者还能捕捉和保存用户的对话信息。这样他就能执行重播攻击或搜寻诸如用户名和口令等机密信息。 目前已知Microsoft和Sun的虚拟机实现存在此安全漏洞。Netscape 6.1, 6.0.1, 和6.0由于带有有问题的Java虚拟机,因此受到此问题影响。Microsoft VM build 3802以及以前版本也受到此问题影响。

英文描述:

Vulnerability in Java Runtime Environment (JRE) allows remote malicious web sites to hijack or sniff a web client's sessions, when an HTTP proxy is being used, via a Java applet that redirects the session to another server, as seen in (1) Netscape 6.0 through 6.1 and 4.79 and earlier, (2) Microsoft VM build 3802 and earlier as used in Internet Explorer 4.x and 5.x, and possibly other implementations that use vulnerable versions of SDK or JDK.

CWE类型:
(暂无数据)
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
microsoft virtual_machine 3802 - - cpe:2.3:a:microsoft:virtual_machine:3802:*:*:*:*:*:*:*
sun jdk 1.1.8 - - cpe:2.3:a:sun:jdk:1.1.8:update13:*:*:*:*:*:*
sun jre 1.1.8 - - cpe:2.3:a:sun:jre:1.1.8:update13:*:*:*:*:*:*
sun jre 1.2.2 - - cpe:2.3:a:sun:jre:1.2.2:update10:*:*:*:*:*:*
sun jre 1.3.0 - - cpe:2.3:a:sun:jre:1.3.0:update2:*:*:*:*:*:*
sun sdk 1.1.8_007 - - cpe:2.3:a:sun:sdk:1.1.8_007:*:*:*:*:*:*:*
sun sdk 1.2.2_10 - - cpe:2.3:a:sun:sdk:1.2.2_10:*:*:*:*:*:*:*
sun sdk 1.2.2_010 - - cpe:2.3:a:sun:sdk:1.2.2_010:*:*:*:*:*:*:*
sun sdk 1.3_02 - - cpe:2.3:a:sun:sdk:1.3_02:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
MS02-013 vendor-advisory
cve.org
访问
00216 vendor-advisory
cve.org
访问
20020305 Java HTTP proxy vulnerability mailing-list
cve.org
访问
CVSS评分详情
5.0
MEDIUM
CVSS向量: AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS版本: 2.0
机密性
PARTIAL
完整性
NONE
可用性
NONE
时间信息
发布时间:
2002-03-07 05:00:00
修改时间:
2024-08-08 02:35:17
创建时间:
2025-11-11 15:32:15
更新时间:
2025-11-11 15:48:47
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2002-0058 2025-11-11 15:17:23 2025-11-11 07:32:15
NVD nvd_CVE-2002-0058 2025-11-11 14:50:27 2025-11-11 07:41:01
CNNVD cnnvd_CNNVD-200203-035 2025-11-11 15:08:40 2025-11-11 07:48:47
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:48:47
vulnerability_type: 未提取 → 授权问题; cnnvd_id: 未提取 → CNNVD-200203-035; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 授权问题
  • cnnvd_id: 未提取 -> CNNVD-200203-035
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:41:01
cvss_score: 未提取 → 5.0; cvss_vector: NOT_EXTRACTED → AV:N/AC:L/Au:N/C:P/I:N/A:N; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 9; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • cvss_score: 未提取 -> 5.0
  • cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:N/A:N
  • cvss_version: NOT_EXTRACTED -> 2.0
  • affected_products_count: 0 -> 9
  • data_sources: ['cve'] -> ['cve', 'nvd']