IBM ha publicado una actualización para corregir una vulnerabilidad en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Scripting.
IBM WebSphere Application Server (WAS) es el
servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede
funcionar con diferentes servidores web y sistemas operativos incluyendo Apache
HTTP Server, Netscape Enterprise Server, Microsoft Internet Information
Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft,
Windows y Solaris.
El problema (con CVE-2015-7417) podría permitir a un atacante remoto realizar ataques de cross-site scripting cuando se utilizan contraseñas OAuth debido a una validación inadecuada de las entradas del usuario. Se podría utilizar esta vulnerabilidad para robar las cookies de las credenciales de autenticación de la víctima.
Recursos afectados
- Se ven afectadas las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5.
- IBM ha publicado el Interim Fix PI49272 para solucionar esta vulnerabilidad. http://www-304.ibm.com/support/docview.wss?uid=swg24041604
- Security Bulletin: Cross-site scripting vulnerability in IBM WebSphere Application Server (CVE-2015-7417) http://www-304.ibm.com/support/docview.wss?uid=swg21974520