miércoles, 8 de enero de 2014

Vulnerabilidad de divulgación de información sensible en IBM WebSphere Portal

Se ha anunciado una vulnerabilidad en IBM WebSphere Portal que podría permitir a un atacante remoto obtener información sensible de los sistemas afectados.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

El problema (con CVE-2013-6735) reside en una vulnerabilidad de inyección ciega de XPath en el WCM (Web Content Management) que podría permitir a un atacante remoto no autenticado obtener información del JCR (Java Content Repository).

El problema afecta a las versiones 6.0, 6.1, 7.0, 8.0. IBM ha publicado una corrección para evitar este problema. Se recomienda instalar el parche PI07777:
http://www.ibm.com/eserver/support/fixes/fixcentral/swg/quickorder?productid=WebSphere%20Portal&brandid=5&apar=PI07777

Más información:

Security Bulletin: Fix available for Unauthorized Information Retrieval Security Vulnerability in IBM WebSphere Portal (CVE-2013-6735)
http://www-01.ibm.com/support/docview.wss?uid=swg1PK91972

XPath Injection. IBM Web Content Manager
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20131227-0_IBM_WCM_XPath_Injection_v10.txt



Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017