Se ha
anunciado una vulnerabilidad de cross-site scripting en IBM WebSphere Portal
7.0, 8.0 y 8.5. Un atacante remoto podría emplear este problema para ejecutar
código script arbitrario.
IBM WebSphere Portal ofrece una aplicación
compuesta o infraestructura de "mashup" empresarial y las
herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a
Servicios). WebSphere Portal contiene una amplia variedad de tecnologías
destinadas a desarrollar y mantener portales B2C, B2B y B2E.
Detalle e Impacto de la vulnerabilidad
- El problema, con CVE-2014-6093, reside en un error de validación de entradas que podría permitir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script arbitrario.
- El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
- IBM ha publicado una corrección para evitar este problema, disponible con la identificación PI24678 http://www-933.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Lotus&product=ibm/Lotus/Workplace+Web+Content+Management&release=All&platform=All&function=aparId&apars=PI24678
- Security Bulletin: Fix available for Cross Site Scripting Vulnerability in IBM WebSphere Portal (CVE-2014-6093) http://www-01.ibm.com/support/docview.wss?uid=swg21689849
