Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Cross-site scripting a través de navigateTree.do en IBM WebSphere 6.x

Cross-site scripting a través de navigateTree.do en IBM WebSphere 6.x

Por Deja un comentario

Se ha descubierto una vulnerabilidad en IBM WebSphere que podría ser aprovechada por un atacante para realizar ataques por cross site scripting.

Esta vulnerabilidad se debe a un error en la comprobación de los parámetros keyField, nameField, valueField, y frameReturn en uddigui/navigateTree.do. Un atacante podría aprovechar esto para ejecutar código html y script arbitrario en el contexto del navegador a través de una página web especialmente manipulada.

IBM ha anunciado que esta vulnerabilidad será solventada en la actualización WebSphere Application Server 6.1.0 fix pack 13 (6.1.0.13).

Laboratorio Hispasec
laboratorio@hispasec.com

Más información:

PK50245: Validation needed for parameters that are passed to the navigatetree.do page in the uddi user console
http://www-1.ibm.com/support/docview.wss?uid=swg1PK50245

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.