Se ha
anunciado una vulnerabilidad de cross-site scripting en IBM WebSphere Portal
7.0, 8.0 y 8.5. Un atacante remoto podría emplear este problema para ejecutar
código script arbitrario.
IBM WebSphere Portal ofrece una
aplicación compuesta o infraestructura de "mashup" empresarial y las
herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios).
WebSphere Portal contiene una amplia variedad de tecnologías destinadas a
desarrollar y mantener portales B2C, B2B y B2E.
El problema, con CVE-2014-6093,
reside en un error de validación de entradas que podría permitir a un atacante
remoto crear una URL, que al ser cargada por el usuario permita la ejecución de
código script arbitrario. El código se origina desde el sitio que ejecuta
WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio.
Con ello el atacante podría acceder a las cookies (incluyendo las de
autenticación) y a información recientemente enviada, además de poder realizar
acciones en el sitio haciéndose pasar por la víctima.
IBM ha publicado una corrección
para evitar este problema, disponible con la identificación PI24678:
Más información:
Security Bulletin: Fix available for Cross Site
Scripting Vulnerability in IBM WebSphere Portal (CVE-2014-6093)
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario