Se ha descubierto una vulnerabilidad en IBM WebSphere que podría ser aprovechada por un atacante para realizar ataques por cross site scripting.
Esta vulnerabilidad se debe a un error en la comprobación de los parámetros keyField, nameField, valueField, y frameReturn en uddigui/navigateTree.do. Un atacante podría aprovechar esto para ejecutar código html y script arbitrario en el contexto del navegador a través de una página web especialmente manipulada.
IBM ha anunciado que esta vulnerabilidad será solventada en la actualización WebSphere Application Server 6.1.0 fix pack 13 (6.1.0.13).
laboratorio@hispasec.com
Más información:
PK50245: Validation needed for parameters that are passed to the navigatetree.do page in the uddi user console
http://www-1.ibm.com/support/docview.wss?uid=swg1PK50245
Deja un comentario