Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/04/2015
Tal com ens informen des d’Hispasec, IBM ha publicat una actualització per a corregir per una banda una vulnerabilitat, que podria permetre a un atacant provocar una denegació de servici, i d’altra banda una vulnerabilitat de cross-site scripting per un error de validació d’entrades que podria permetre a un atacant remot crear un URL, que al ser carregat per l’usuari permeta l’execució de codi script arbitrari. El codi s’origina des del lloc que executa WebSphere, per la qual cosa s’executarà en el context de seguretat del lloc esmentat. Amb això, l’atacant podria accedir a les galetes (incloent-hi les d’autenticació) i a informació recentment enviada, a més de poder realitzar accions en el lloc fent-se passar per la víctima.
Sistemes Afectats:Els problemes afecten WebSphere Portal 8.5, 8.0, 7 i 6.1.
Referències:CVE-2014-1866, CVE-2015-1908
Solució:IBM ha publicat les actualitzacions PI37356 i PI37661 per a evitar estos problemes.
Notes: