IBM ha publicado un boletín de seguridad para alertar de una
vulnerabilidad de cross-site request forgery (CSRF) en IBM WebSphere Portal
8.5.
IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura
de "mashup" empresarial y las herramientas para crear soluciones
basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene
una amplia variedad de tecnologías destinadas a desarrollar y mantener portales
B2C, B2B y B2E.
El problema, con CVE CVE-2016-2901, reside en un error de validación
de las entradas del usuario que podría permitir a un atacante remoto realizar
ataques de cross-site request forgery. Este tipo de vulnerabilidades permiten a
un atacante ejecutar funcionalidades de una web determinada a través de la
sesión de otro usuario en esa web. De esta forma un atacante podría tener
acceso al servidor con los mismos permisos que los del usuario atacado.
Recomendación
- IBM
ha publicado una corrección para evitar este problema, disponible con la
identificación PI62594: http://www.ibm.com/eserver/support/fixes/fixcentral/swg/quickorder?productid=WebSphere%20Portal&brandid=5&apar=PI62594
Más información:
- Security
Bulletin: Cross-Site Request Forgery Vulnerability in IBM WebSphere Portal
(CVE-2016-2901) http://www-01.ibm.com/support/docview.wss?uid=swg21983974