IBM ha publicado una actualización para corregir dos vulnerabilidades en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Request Forgery y de Cross-Site Scripting.
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) y de Cross-Site Scripting. Las vulnerabilidades tienen asignados los CVE CVE-2014-4816y CVE-2014-4770respectivamente. Ambos problemas residen en una validación inadecuada de las entradas sobre la interfaz de administración del servidor.
Los ataques podrían emplearse por atacantes remotos para realizar acciones no autorizadas sobre la consola de administración, acceder a las cookies (incluyendo las de autenticación) o a información recientemente enviada.
Se ven afectadas las versiones de IBM WebSphere Application Server 6.0.2, 6.1, 7.0, 8.0, 8.5 y 8.5.5.
IBM ha publicado el Interim Fix PI23055para solucionar estas vulnerabilidades, disponible desde:
Se debe actualizar al último Fix Pack disponible y luego aplicar esta actualización.
Más información:
Security Bulletin: Potential Security exposures with WebSphere Application Server (CVE-2014-4770 and CVE-2014-4816)
Antonio Ropero
Twitter: @aropero
Deja una respuesta