Cross-Site Scripting en IBM WebSphere Portal
Se ha anunciado una vulnerabilidad de cross-site scripting en IBM WebSphere Portal 7.0, 8.0 y 8.5. Un atacante remoto podría emplear este problema para ejecutar código script arbitrario.
IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de “mashup” empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.
El problema, con CVE-2014-6093, reside en un error de validación de entradas que podría permitir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
IBM ha publicado una corrección para evitar este problema, disponible con la identificación PI24678:
http://www-933.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Lotus&product=ibm/Lotus/Workplace+Web+Content+Management&release=All&platform=All&function=aparId&apars=PI24678
Ver informacion original al respecto en Fuente:
http://unaaldia.hispasec.com/2014/12/cross-site-scripting-en-ibm-websphere.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.