La vulnerabilidad está provocada por un error cuando se sirve una página JSP desde un Application WAR o desde un Extended Document Root, y bajo estos escenarios opcionalmente con cacheo de servlets habilitado, y podrá ser explotada para descubrir el código fuente JSP mediante el uso de determinados caracteres en la URL.
IBM ha publicado los parches y actualizaciones necesarios para evitar este problema, dada la diversidad de versiones y plataformas afectadas, se recomienda consultar la lista en la alerta disponible en:
http://www-1.ibm.com/support/docview.wss?uid=swg21243541
Laboratorio Hispasec
laboratorio@hispasec.com
laboratorio@hispasec.com
Más información:
Possible security exposure with JavaServer Page (JSP) and IBM WebSphere Application Server
http://www-1.ibm.com/support/docview.wss?uid=swg21243541
0 comentarios:
Publicar un comentario en la entrada