VULHUB ™

Plumtree Foundation是流行的企业门户网站解决方案，目前已被BEA收购并成为AquaLogic产品家族的一部分。 Plumtree Foundation的实现上存在多个信息泄露漏洞，远程攻击者可能利用此漏洞获取某些敏感信息有助于进一步攻击。 如果攻击者在BEA Plumtree上执行了高级搜索的话，就可以使用单个HTTP请求枚举有效的用户名。搜索中允许使用通配符，这意味着可以使用子字符锁定特定的用户名类型，如管理用户名和测试用户名。这种用户名枚举漏洞不需要攻击者执行字典或暴力猜测攻击就可以获得用户名。

Plumtree Foundation是流行的企业门户网站解决方案，目前已被BEA收购并成为AquaLogic产品家族的一部分。 Plumtree Foundation的实现上存在多个信息泄露漏洞，远程攻击者可能利用此漏洞获取某些敏感信息有助于进一步攻击。 如果攻击者在BEA Plumtree上执行了高级搜索的话，就可以使用单个HTTP请求枚举有效的用户名。搜索中允许使用通配符，这意味着可以使用子字符锁定特定的用户名类型，如管理用户名和测试用户名。这种用户名枚举漏洞不需要攻击者执行字典或暴力猜测攻击就可以获得用户名。