25-02-2010
IBM WebSphere Portal
Sistema operatiu:IBM WebSphere Portal (versions 6.0J, 6.0.1.5)
Risc: Mig
Descripció:IBM WebSphere Portal ofereix una aplicació composta o infraestructura de "mashup" empresarial i les eines per a crear solucions basades en SOA (Arquitectura Orientada a Servicis). WebSphere Portal conté una àmplia varietat de tecnologies destinades a desenrotllar i mantindre portals B2C, B2B i B2E.
El camp de búsqueda, inclòs en Portlet Palette, no filtra adequadament el codi HTML introduït per l’usuari abans de mostrar la dita entrada. Un atacant remot podria crear una URL específicament creada, que al ser carregada per l’usuari permeta l’execució de codi script arbitrari. El codi s’origina des del lloc que executa WebSphere, pel qual s’executarà en el context de seguretat del dit lloc. Amb això l’atacant podria accedir a les galetes (cookies) (incloent les d’autenticació) i a informació recentment enviada, a més de poder realitzar accions en el lloc fent-se passar per la víctima.
IBM ha publicat una correcció per a evitar este problema, disponible amb la identificació APAR PM05829.
Referències:PM05829: PORTLET PALETTE SECURITY VULNERABILITY
http://www-01.ibm.com/support/docview.wss?uid=swg1PM05829
Mapa Web