CH azonosító
CH-3898Angol cím
IBM WebSphere Application Server Administration Console Cross-Site ScriptingFelfedezés dátuma
2010.11.04.Súlyosság
AlacsonyÉrintett rendszerek
IBMWebSphere Application Server
Érintett verziók
IBM WebSphere Application Server 6.1, 7.0
Összefoglaló
Az IBM WebSphere Application Server három olyan sérülékenységét jelentették, melyeket a támadók kihasználhatnak bizonyos biztonsági előírások megkerülésére, cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadások indítására.
Leírás
- Az adminisztratív konzol részére átadott bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan.
- Az adminisztrációs konzol bemenet ellenőrzési hibáját kihasználva cross-site request forgery (XSRF/CSRF) támadások indíthatók.
Ezeket a sérülékenységeket a 6.1.0.35 és a 7.0.0.13 előtti verziókban jelentették.
- Az adminisztrációs konzol nem helyesen korlátozza a konzol szervletekhez való hozzáférést. Ezt kihasználva direkt kéréseken keresztül megszerezhetők az állapot információk.
Ezt a sérülékenységet a 6.1.0.35 és a 7.0.0.15 előtti verziókban jelentették.
Megoldás
Alkalmazza az ideiglenes javítócsomagokat vagy frissítsen újabb verzióra, amint elérhetővé válik!
A 6.1 Fix Pack 35 (6.1.0.35) érkezése 2010.12.17-én, a 7.0 Fix Pack 15 (7.0.0.15) érkezése 2011.02.07-én várható.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: xforce.iss.net
Egyéb referencia: xforce.iss.net
Egyéb referencia: xforce.iss.net
SECUNIA 42136
CVE-2010-0783 - NVD CVE-2010-0783
CVE-2010-0785 - NVD CVE-2010-0785
CVE-2011-0316 - NVD CVE-2011-0316