IBM WebSphere Application Server adminisztrációs konzol cross-site scripting sérülékenység

CH azonosító

CH-3898

Angol cím

IBM WebSphere Application Server Administration Console Cross-Site Scripting

Felfedezés dátuma

2010.11.04.

Súlyosság

Alacsony

Érintett rendszerek

IBM
WebSphere Application Server

Érintett verziók

IBM WebSphere Application Server 6.1, 7.0

Összefoglaló

Az IBM WebSphere Application Server három olyan sérülékenységét jelentették, melyeket a támadók kihasználhatnak bizonyos biztonsági előírások megkerülésére, cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadások indítására.

Leírás

  1. Az adminisztratív konzol részére átadott bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében az érintett oldallal kapcsolatosan.
  2. Az adminisztrációs konzol bemenet ellenőrzési hibáját kihasználva cross-site request forgery (XSRF/CSRF) támadások indíthatók.

    Ezeket a sérülékenységeket a 6.1.0.35 és a 7.0.0.13 előtti verziókban jelentették.

  3. Az adminisztrációs konzol nem helyesen korlátozza a konzol szervletekhez való hozzáférést. Ezt kihasználva direkt kéréseken keresztül megszerezhetők az állapot információk.

    Ezt a sérülékenységet a 6.1.0.35 és a 7.0.0.15 előtti verziókban jelentették.

Megoldás

Alkalmazza az ideiglenes javítócsomagokat vagy frissítsen újabb verzióra, amint elérhetővé válik!

A 6.1 Fix Pack 35 (6.1.0.35) érkezése 2010.12.17-én, a 7.0 Fix Pack 15 (7.0.0.15) érkezése 2011.02.07-én várható.


Legfrissebb sérülékenységek
CVE-2023-20889 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-20888 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-20887 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-20178 – Cisco AnyConnect Secure Mobility Client sérülékenysége
CVE-2023-3079 – Google Chrome sérülékenysége
CVE-2023-34362 – Progress MOVEit Transfer sérülékenysége
CVE-2023-33960 – OpenProject sérülékenysége
CVE-2023-32324 – OpenPrinting CUPS sérülékenysége
CVE-2023-28066 – Dell OS Recovery Tool sérülékenysége
CVE-2023-26278 – IBM QRadar WinCollect Agent sérülékenysége
Tovább a sérülékenységekhez »