Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Vulnerabilidad de divulgación de información sensible en IBM WebSphere Portal

Vulnerabilidad de divulgación de información sensible en IBM WebSphere Portal

Por Deja un comentario

Se ha anunciado una vulnerabilidad en IBM WebSphere Portal que podría permitir a un atacante remoto obtener información sensible de los sistemas afectados.
IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de «mashup» empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.
El problema (con CVE-2013-6735) reside en una vulnerabilidad de inyección ciega de XPath en el WCM (Web Content Management) que podría permitir a un atacante remoto no autenticado obtener información del JCR (Java Content Repository).
El problema afecta a las versiones 6.0, 6.1, 7.0, 8.0. IBM ha publicado una corrección para evitar este problema. Se recomienda instalar el parche PI07777:
http://www.ibm.com/eserver/support/fixes/fixcentral/swg/quickorder?productid=WebSphere%20Portal&brandid=5&apar=PI07777
Más información:
Security Bulletin: Fix available for Unauthorized Information Retrieval Security Vulnerability in IBM WebSphere Portal (CVE-2013-6735)
http://www-01.ibm.com/support/docview.wss?uid=swg1PK91972
XPath Injection. IBM Web Content Manager
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20131227-0_IBM_WCM_XPath_Injection_v10.txt
Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

Interacciones del lector

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.