Diversas vulnerabilidades en IBM WebSphere Portal
Se han anunciado seis vulnerabilidades en IBM WebSphere Portal que
podrían permitir a un atacante remoto construir ataques de cross-site
scripting, cross-site request forgery, denegación de servicio,
revelación de información e incluso ejecutar código arbitrario en
los sistemas afectados.
IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura
de “mashup” empresarial y las herramientas para crear soluciones basadas
en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene
una amplia variedad de tecnologías destinadas a desarrollar y mantener
portales B2C, B2B y B2E.
Una vulnerabilidad, con CVE-2014-4814, que podría permitir a un atacante
provocar una denegación de servicio si un usuario abre un archivo XML
específicamente manipulado. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6.
Otra vulnerabilidad de la que IBM no ha ofrecido detalles, con
CVE-2014-4808, puede considerarse la vulnerabilidad más grave de todas
ya que permite la ejecución remota de código. Afecta a WebSphere Portal
8.5, 8.0, 7 y 6.
Con CVE-2014-4821 una vulnerabilidad que podría permitir a un atacante
identificar si un archivo existe o no en base a los códigos de error del
servidor. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6. Una vulnerabilidad
de cross-site request forgery, con CVE-2014-6125, y otra de cross-site
scripting, con CVE-2014-6126, que afectan a WebSphere Portal 8.5.
Por ultimo, con CVE-2014-5191, una vulnerabilidad de cross-site
scripting en el Preview Plugin del CKEditor. Afecta a WebSphere Portal
8.5, 8.0.
IBM ha publicado diferentes correcciones para evitar estos problemas.
Dada la diversidad de versiones afectadas y parches se recomienda
consultar el aviso
http://www-304.ibm.com/support/docview.wss?uid=swg21680230
Ver mas información al respecto en Fuente:
http://unaaldia.hispasec.com/2014/11/diversas-vulnerabilidades-en-ibm.html#comments
saludos
ms, 4-11-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.