CH azonosító
CH-10230Angol cím
IBM WebSphere Portal Multiple VulnerabilitiesFelfedezés dátuma
2013.12.23.Súlyosság
KözepesÉrintett rendszerek
IBMWebSphere Portal
Érintett verziók
IBM WebSphere Portal 7.x
IBM WebSphere Portal 8.x
Összefoglaló
Az IBM WebSphere Portal két biztonsági problémája és két sérülékenysége vált ismertté, melyeket kihasználva a rosszindulatú támadók megkerülhetnek bizonyos biztonsági szabályokat, potenciálisan érzékeny információkhoz juthatnak, és cross-site scripting támadást idézhetnek elő.
Leírás
1) Bizonyos a Web Content Manager UI-hez kapcsolódó bemenetek a felhasználóhoz való visszatérés előtt nincsenek megfelelően ellenőrizve. Ezt kihasználva az érintett oldalon tetszőleges HTML és script kód futtatható.
2) Az alkalmazás nem megfelelően ellenőrzi hozzáférési jogokat a taxonómia komponens fordításakor. Ezt kihasználva a WCM tartalom egyes tulajdonságai kerülhetnek nyilvánosságra.
3) Az alkalmazás nem megfelelően ellenőrzi a hozzáférési jogokat, amikor bizonyos egyéb WCM komponensekre hivatkozó WCM navigátor komponenseket kezel. Ezt kihasználva nyilvánosságra kerülhetnek a hivatkozott komponensek.
4) Az alkalmazás a Portal Application Archives (PAAs) telepítése közben nem megfelelően ellenőrzi a hozzáféréi jogokat, ezt kihasználva tetszőleges PAAs telepíthető és futtatható.
Az érintett verziók pontos listájához és a részletekért keresse fel a gyártó oldalát.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Telepítse a Cumulative Fix 09 (CF09)-t.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 56165
CVE-2013-4012 - NVD CVE-2013-4012
CVE-2013-6316 - NVD CVE-2013-6316
CVE-2013-6328 - NVD CVE-2013-6328
CVE-2013-6723 - NVD CVE-2013-6723
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com