Vulnerabilidades en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir dos vulnerabilidades en

IBM WebSphere Application Server que podrían permitir la realización
ataques de Cross-Site Request Forgery y de Cross-Site Scripting.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de
software de la familia WebSphere de IBM. WAS puede funcionar con
diferentes servidores web y sistemas operativos incluyendo Apache HTTP
Server, Netscape Enterprise Server, Microsoft Internet Information
Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux,
Microsoft, Windows y Solaris.

La consola de administración de IBM WebSphere Application Server es
vulnerable a ataques de Cross-Site Request Forgery (CSRF) y de
Cross-Site Scripting. Las vulnerabilidades tienen asignados los CVE
CVE-2014-4816 y CVE-2014-4770 respectivamente. Ambos problemas residen
en una validación inadecuada de las entradas sobre la interfaz de
administración del servidor.

Los ataques podrían emplearse por atacantes remotos para realizar
acciones no autorizadas sobre la consola de administración, acceder a
las cookies (incluyendo las de autenticación) o a información
recientemente enviada.

Se ven afectadas las versiones de IBM WebSphere Application Server
6.0.2, 6.1, 7.0, 8.0, 8.5 y 8.5.5.

IBM ha publicado el Interim Fix PI23055 para solucionar estas
vulnerabilidades, disponible desde:
http://www-01.ibm.com/support/docview.wss?uid=swg24038403

Se debe actualizar al último Fix Pack disponible y luego aplicar esta
actualización.
Ver mas informacion al respecto en Fuente:
http://unaaldia.hispasec.com/2014/10/vulnerabilidades-en-ibm-websphere.html