domingo, 18 de noviembre de 2007

Cross-site Scripting en IBM WebSphere Application Server 5.x

Se ha encontrado una vulnerabilidad en IBM WebSphere Application Server 5.x que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

La vulnerabilidad está causada porque la entrada pasada a WebContainer a través de la cabecera "Expect" no se limpia de forma adecuada antes de ser devuelta a un usuario. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y JavaScrip en el contexto de la sesión del navegador de un usuario que visita un sitio afectado.

La vulnerabilidad está confirmada para la versión 5.1.1.4 y posteriores.

Se recomienda instalar el parche disponible desde:
http://www-1.ibm.com/support/docview.wss?uid=swg24017314


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PK51068; 5.1.1.16: WebContainer response to unrecognized Expect Header
http://www-1.ibm.com/support/docview.wss?uid=swg24017314

Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017