miércoles, 31 de octubre de 2007

Cross-site scripting a través de navigateTree.do en IBM WebSphere 6.x

Se ha descubierto una vulnerabilidad en IBM WebSphere que podría ser aprovechada por un atacante para realizar ataques por cross site scripting.

Esta vulnerabilidad se debe a un error en la comprobación de los parámetros keyField, nameField, valueField, y frameReturn en uddigui/navigateTree.do. Un atacante podría aprovechar esto para ejecutar código html y script arbitrario en el contexto del navegador a través de una página web especialmente manipulada.

IBM ha anunciado que esta vulnerabilidad será solventada en la actualización WebSphere Application Server 6.1.0 fix pack 13 (6.1.0.13).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PK50245: Validation needed for parameters that are passed to the navigatetree.do page in the uddi user console
http://www-1.ibm.com/support/docview.wss?uid=swg1PK50245