miércoles, 18 de noviembre de 2009

Vulnerabilidad de Cross Site Scripting en IBM WebSphere Application Server

Se ha encontrado una vulnerabilidad en IBM WebSphere Application Server (versiones 6.1.x y 7.x) que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

La vulnerabilidad está causada por un error de validación de entradas cuando procesa los datos introducidos por el usuario en la Consola de Administración. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y JavaScrip en el contexto de la sesión del navegador de un usuario que visita un sitio afectado.

Para WebSphere Application Server 6.1 se recomienda instalar el último Fix Pack (6.1.0.29 o posterior) o el APAR PK92057.
Para WebSphere Application Server 7.0 se recomienda instalar el último Fix Pack (7.0.0.7 o posterior) o el APAR PK92057.


Antonio Ropero
antonior@hispasec.com


Más información:

IBM WebSphere Application Server Administration Console cross-site scripting
http://xforce.iss.net/xforce/xfdb/54229

No hay comentarios:

Publicar un comentario en la entrada