IBMha publicado una actualización para una vulnerabilidad en WebSphere Application Server, que fue introducida con un parche anterior y que puede permitir el acceso a la aplicación como administrador.
La vulnerabilidad (con CVE-2012-3325) reside en un error al validar las credenciales de usuario, y podría ser aprovechada por un atacante para conseguir acceso administrativo no autorizado a la aplicación.
La vulnerabilidad se introdujo con el Interim Fix para PM44303 (o cualquier Fix Pack que contuviera PM44303), fechada en octubre de 2011. Esta actualización estaba destinada a corregir un problema en el tratamiento de cookies en el proceso de autenticación.
La vulnerabilidad se presenta en las versiones 6.1.0.43, 7.0.0.21 hasta 7.0.0.23, 8.0.0.2 hasta 8.0.0.4, y 8.5.0.0 (solo Full Profile). El problema no se presenta en las versions 6.0.2, 6.1.0.0 hasta 6.1.0.41, 7.0.0.0 hasta 7.0.0.19, 8.0.0.0 hasta 8.0.0.1 y 8.5.0.0 (solo Liberty Profile).
IBM recomienda aplicar el Interim Fix PM71296 o un Fix Pack que lo contenga
Más información:
Potential security exposure with IBM WebSphere Application Server after installing PM44303
PM44303: LTPA COOKIE NOT RETURNED ON CLIENT REQUEST THAT SUCCESSFULLY AUTHENTICATES, BUT FAILS AUTHORIZATION TO A WEB REQUEST.
Antonio Ropero
Twitter: @aropero
Deja una respuesta