4 de noviembre de 2014

IBM WEBSPHERE PORTAL . Descubiertas diversas vulnerabilidades

Se han anunciado seis vulnerabilidades en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de cross-site scripting, cross-site request forgery, denegación de servicio, revelación de información e incluso ejecutar código arbitrario en los sistemas afectados.
 IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.
 Una vulnerabilidad, con CVE-2014-4814, que podría permitir a un atacante provocar una denegación de servicio si un usuario abre un archivo XML específicamente manipulado. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6. Otra vulnerabilidad de la que IBM no ha ofrecido detalles, con CVE-2014-4808, puede considerarse la vulnerabilidad más grave de todas ya que permite la ejecución remota de código. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6.
 Con CVE-2014-4821 una vulnerabilidad que podría permitir a un atacante identificar si un archivo existe o no en base a los códigos de error del servidor. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6. Una vulnerabilidad de cross-site request forgery, con CVE-2014-6125, y otra de cross-site scripting, con CVE-2014-6126, que afectan a WebSphere Portal 8.5.
 Por ultimo, con CVE-2014-5191, una vulnerabilidad de cross-site scripting en el Preview Plugin del CKEditor. Afecta a WebSphere Portal 8.5, 8.0.
 IBM ha publicado diferentes correcciones para evitar estos problemas. Dada la diversidad de versiones afectadas y parches se recomienda consultar el aviso
http://www-304.ibm.com/support/docview.wss?uid=swg21680230
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas: