CVE-2002-0562 (CNNVD-200207-058)

MEDIUM
中文标题:
Oracle 9iAS OracleJSP泄漏JSP文件信息漏洞
英文标题:
The default configuration of Oracle 9i Application Server 1.0.2.x running Oracle JSP or SQLJSP store...
CVSS分数: 5.0
发布时间: 2002-06-11 04:00:00
漏洞类型: 授权问题
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

Oracle 9iAS(Application Server)的web服务使用的是Apache Web Server,它提供了多种应用环境,包括SOAP,PL/SQL,XSQL以及JSP。 Oracle 9iAS的OracleJSP环境中存在一个安全问题,允许远程攻击者获取翻译后的JSP页面的源代码。另外一个问题允许攻击者获取globals.jsa文件的内容。 当用户向运行OracleJSP的服务器请求一个JSP页面时,该JSP页面会首先被翻译,然后编译、执行,并将执行结果返回给客户端。在此过程中,三个临时文件会被创建。如果请求的JSP页面为"foo.jsp",那三个临时文件就是: _foo$__jsp_StaticText.class _foo.class _foo.java 它们会被保存在"/_pages"目录下。如果foo.jsp保存在子目录"bar"下,则上述临时文件会保存在"/_pages/_bar"下。由于翻译后的.java文件中包含JSP源代码,而这些文件又都可以直接通过WEB接口访问,攻击者就可能获取一些敏感信息,例如Oracle数据库的用户名和口令。 另外,如果JSP应用程序使用globals.jsa文件来保存全局设置,攻击者也可以直接访问该文件并获取其内容,如果其中包含一些敏感信息,也同样可能导致较严重的安全问题。

英文描述:

The default configuration of Oracle 9i Application Server 1.0.2.x running Oracle JSP or SQLJSP stores globals.jsa under the web root, which allows remote attackers to gain sensitive information including usernames and passwords via a direct HTTP request to globals.jsa.

CWE类型:
(暂无数据)
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
oracle application_server 1.0.2 - - cpe:2.3:a:oracle:application_server:1.0.2:*:*:*:*:*:*:*
oracle application_server_web_cache 2.0.0.0 - - cpe:2.3:a:oracle:application_server_web_cache:2.0.0.0:*:*:*:*:*:*:*
oracle application_server_web_cache 2.0.0.1 - - cpe:2.3:a:oracle:application_server_web_cache:2.0.0.1:*:*:*:*:*:*:*
oracle application_server_web_cache 2.0.0.2 - - cpe:2.3:a:oracle:application_server_web_cache:2.0.0.2:*:*:*:*:*:*:*
oracle application_server_web_cache 2.0.0.3 - - cpe:2.3:a:oracle:application_server_web_cache:2.0.0.3:*:*:*:*:*:*:*
oracle oracle9i 9.0 - - cpe:2.3:a:oracle:oracle9i:9.0:*:*:*:*:*:*:*
oracle oracle9i 9.0.1 - - cpe:2.3:a:oracle:oracle9i:9.0.1:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
CA-2002-08 third-party-advisory
cve.org
访问
VU#698467 third-party-advisory
cve.org
访问
无标题 x_refsource_CONFIRM
cve.org
访问
4034 vdb-entry
cve.org
访问
20020206 JSP translation file access under Oracle 9iAS mailing-list
cve.org
访问
CVSS评分详情
5.0
MEDIUM
CVSS向量: AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS版本: 2.0
机密性
PARTIAL
完整性
NONE
可用性
NONE
时间信息
发布时间:
2002-06-11 04:00:00
修改时间:
2024-08-08 02:56:38
创建时间:
2025-11-11 15:32:16
更新时间:
2025-11-11 15:48:48
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2002-0562 2025-11-11 15:17:23 2025-11-11 07:32:16
NVD nvd_CVE-2002-0562 2025-11-11 14:50:27 2025-11-11 07:41:02
CNNVD cnnvd_CNNVD-200207-058 2025-11-11 15:08:40 2025-11-11 07:48:48
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:48:48
vulnerability_type: 未提取 → 授权问题; cnnvd_id: 未提取 → CNNVD-200207-058; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 授权问题
  • cnnvd_id: 未提取 -> CNNVD-200207-058
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:41:02
cvss_score: 未提取 → 5.0; cvss_vector: NOT_EXTRACTED → AV:N/AC:L/Au:N/C:P/I:N/A:N; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 7; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • cvss_score: 未提取 -> 5.0
  • cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:N/A:N
  • cvss_version: NOT_EXTRACTED -> 2.0
  • affected_products_count: 0 -> 7
  • data_sources: ['cve'] -> ['cve', 'nvd']