IBM WebSphere Portal sérülékenységei

CH azonosító

CH-10230

Angol cím

IBM WebSphere Portal Multiple Vulnerabilities

Felfedezés dátuma

2013.12.23.

Súlyosság

Közepes

Érintett rendszerek

IBM
WebSphere Portal

Érintett verziók

IBM WebSphere Portal 7.x
IBM WebSphere Portal 8.x

Összefoglaló

Az IBM WebSphere Portal két biztonsági problémája és két sérülékenysége vált ismertté, melyeket kihasználva a rosszindulatú támadók megkerülhetnek bizonyos biztonsági szabályokat, potenciálisan érzékeny információkhoz juthatnak, és cross-site scripting támadást idézhetnek elő.

Leírás

1) Bizonyos a Web Content Manager UI-hez kapcsolódó bemenetek a felhasználóhoz való visszatérés előtt nincsenek megfelelően ellenőrizve. Ezt kihasználva az érintett oldalon tetszőleges HTML és script kód futtatható.

2) Az alkalmazás nem megfelelően ellenőrzi hozzáférési jogokat a taxonómia komponens fordításakor. Ezt kihasználva a WCM tartalom egyes tulajdonságai kerülhetnek nyilvánosságra.

3) Az alkalmazás nem megfelelően ellenőrzi a hozzáférési jogokat, amikor bizonyos egyéb WCM komponensekre hivatkozó WCM navigátor komponenseket kezel. Ezt kihasználva nyilvánosságra kerülhetnek a hivatkozott komponensek.

4) Az alkalmazás Portal Application Archives (PAAs) telepítése közben nem megfelelően ellenőrzi a hozzáféréi jogokat, ezt kihasználva tetszőleges PAAs telepíthető és futtatható.

Az érintett verziók pontos listájához és a részletekért keresse fel a gyártó oldalát.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Telepítse a Cumulative Fix 09 (CF09)-t.