Cross-Site Request Forgery en IBM WebSphere Portal

IBM ha publicado un boletín de seguridad para alertar de una vulnerabilidad de cross-site request forgery (CSRF) en IBM WebSphere Portal 8.5.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

El problema, con CVE CVE-2016-2901, reside en un error de validación de las entradas del usuario que podría permitir a un atacante remoto realizar ataques de cross-site request forgery. Este tipo de vulnerabilidades permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma un atacante podría tener acceso al servidor con los mismos permisos que los del usuario atacado.

IBM ha publicado una corrección para evitar este problema, disponible con la identificación PI62594:

http://www.ibm.com/eserver/support/fixes/fixcentral/swg/quickorder?productid=WebSphere%20Portal&brandid=5&apar=PI62594

Más información:

Security Bulletin: Cross-Site Request Forgery Vulnerability in IBM WebSphere Portal (CVE-2016-2901)

http://www-01.ibm.com/support/docview.wss?uid=swg21983974

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

una-al-día | Hispasec

domingo, 26 de junio de 2016

Cross-Site Request Forgery en IBM WebSphere Portal

No hay comentarios:

Publicar un comentario