IBM
ha publicado una
actualización para corregir dos vulnerabilidades
en IBM WebSphere Portal que podrían permitir a un atacante remoto construir
ataques de cross-site scripting o de denegación de servicio.
IBM WebSphere Portal ofrece una
aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones
basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una
amplia variedad de tecnologías destinadas a desarrollar y mantener portales
B2C, B2B y B2E.
Una vulnerabilidad, con CVE-2014-1866,
que podría permitir a un atacante provocar una denegación de servicio debido a una
validación inadecuada de peticiones específicamente construidas, que llegarían a
consumir todos los recursos de memoria.
Por otra parte, con CVE-2015-1908, una vulnerabilidad de cross-site scripting por
un error de validación de entradas que podría permitir a un atacante remoto
crear una URL, que al ser cargada por el usuario permita la ejecución de código
script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por
lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el
atacante podría acceder a las cookies (incluyendo las de autenticación) y a
información recientemente enviada, además de poder realizar acciones en el
sitio haciéndose pasar por la víctima.
Los problemas afectan a WebSphere
Portal 8.5, 8.0, 7 y 6.1. IBM ha publicado las actualizaciones PI37356 y PI37661
para evitar estos problemas.
Se recomienda consultar el aviso de
IBM para determinar el proceso de actualización en función de la versión
afectada:
Más información:
Security Bulletin: Fixes available for Security
Vulnerabilities in IBM WebSphere Portal (CVE-2015-1886; CVE-2015-1908)
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario