Se han anunciado seis vulnerabilidades en IBM WebSphere
Portal que podrían permitir a un atacante remoto construir ataques de
cross-site scripting, cross-site request forgery, denegación de servicio,
revelación de información e incluso ejecutar código arbitrario en los sistemas
afectados.
IBM WebSphere
Portal ofrece una aplicación compuesta o infraestructura de "mashup"
empresarial y las herramientas para crear soluciones basadas en SOA
(Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia
variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y
B2E.
Una
vulnerabilidad, con CVE-2014-4814, que podría permitir a un atacante provocar
una denegación de servicio si un usuario abre un archivo XML específicamente
manipulado. Afecta a WebSphere Portal 8.5, 8.0, 7 y 6. Otra vulnerabilidad de
la que IBM no ha ofrecido detalles, con CVE-2014-4808, puede considerarse la
vulnerabilidad más grave de todas ya que permite la ejecución remota de código.
Afecta a WebSphere Portal 8.5, 8.0, 7 y 6.
Con
CVE-2014-4821 una vulnerabilidad que podría permitir a un atacante identificar
si un archivo existe o no en base a los códigos de error del servidor. Afecta a
WebSphere Portal 8.5, 8.0, 7 y 6. Una vulnerabilidad de cross-site request
forgery, con CVE-2014-6125, y otra de cross-site scripting, con CVE-2014-6126,
que afectan a WebSphere Portal 8.5.
Por ultimo, con
CVE-2014-5191, una vulnerabilidad de cross-site scripting en el Preview Plugin
del CKEditor. Afecta a WebSphere Portal 8.5, 8.0.
IBM ha publicado
diferentes correcciones para evitar estos problemas. Dada la diversidad de
versiones afectadas y parches se recomienda consultar el aviso
Más
información:
- Security Bulletin: Fixes available for Security
Vulnerabilities in IBM WebSphere Portal (CVE-2014-4814; CVE-2014-4808;
CVE-2014-4821; CVE-2014-6125; CVE-2014-6126) http://www-01.ibm.com/support/docview.wss?uid=swg21684651
- Security Bulletin: Fixes available for Security
Vulnerabilities in CKEditor that affect IBM WebSphere Portal
(CVE-2014-5191) http://www-01.ibm.com/support/docview.wss?uid=swg21684650