IBM WebSphere Portal sérülékenységei

CH azonosító

CH-10230

Angol cím

IBM WebSphere Portal Multiple Vulnerabilities

Felfedezés dátuma

2013.12.23.

Súlyosság

Közepes

Érintett rendszerek

IBM
WebSphere Portal

Érintett verziók

IBM WebSphere Portal 7.x
IBM WebSphere Portal 8.x

Összefoglaló

Az IBM WebSphere Portal két biztonsági problémája és két sérülékenysége vált ismertté, melyeket kihasználva a rosszindulatú támadók megkerülhetnek bizonyos biztonsági szabályokat, potenciálisan érzékeny információkhoz juthatnak, és cross-site scripting támadást idézhetnek elő.

Leírás

1) Bizonyos a Web Content Manager UI-hez kapcsolódó bemenetek a felhasználóhoz való visszatérés előtt nincsenek megfelelően ellenőrizve. Ezt kihasználva az érintett oldalon tetszőleges HTML és script kód futtatható.

2) Az alkalmazás nem megfelelően ellenőrzi hozzáférési jogokat a taxonómia komponens fordításakor. Ezt kihasználva a WCM tartalom egyes tulajdonságai kerülhetnek nyilvánosságra.

3) Az alkalmazás nem megfelelően ellenőrzi a hozzáférési jogokat, amikor bizonyos egyéb WCM komponensekre hivatkozó WCM navigátor komponenseket kezel. Ezt kihasználva nyilvánosságra kerülhetnek a hivatkozott komponensek.

4) Az alkalmazás Portal Application Archives (PAAs) telepítése közben nem megfelelően ellenőrzi a hozzáféréi jogokat, ezt kihasználva tetszőleges PAAs telepíthető és futtatható.

Az érintett verziók pontos listájához és a részletekért keresse fel a gyártó oldalát.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Telepítse a Cumulative Fix 09 (CF09)-t.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
CVE-2019-9875 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
CVE-2019-9874 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
Tovább a sérülékenységekhez »