Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/04/2015
Tal y como nos informan desde Hispasec, IBM ha publicado una actualización para corregir por un lado una vulnerabilidad, que podría permitir a un atacante provocar una denegación de servicio, y por otra parte, una vulnerabilidad de cross-site scripting por un error de validación de entradas que podría permitir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Sistemas Afectados:Los problemas afectan a WebSphere Portal 8.5, 8.0, 7 y 6.1.
Referencias:CVE-2014-1866, CVE-2015-1908
Solución:IBM ha publicado las actualizaciones PI37356 y PI37661 para evitar estos problemas.
Notas: