28 de abril de 2015

VULNERABILIDADES. Actualización para IBM WebSphere Portal

IBM ha publicado una actualización para corregir dos vulnerabilidades en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de cross-site scripting o de denegación de servicio.
 IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

Detalle de la vulnerabilidad
  •  Una vulnerabilidad, con CVE-2014-1866, que podría permitir a un atacante provocar una denegación de servicio debido a una validación inadecuada de peticiones específicamente construidas, que llegarían a consumir todos los recursos de memoria.
  •  Por otra parte, con CVE-2015-1908, una vulnerabilidad de cross-site scripting por un error de validación de entradas que podría permitir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Recursos  afectados
  •  Los problemas afectan a WebSphere Portal 8.5, 8.0, 7 y 6.1. IBM ha publicado las actualizaciones PI37356 y PI37661 para evitar estos problemas.
Recomendación
Más información:
Fuente: Hispasec