IBM WebSphere Application Server 7.0 < 7.0.0.45 / 8.0 < 8.0.0.14 / 8.5 < 8.5.5.12 / 9.0 < 9.0.0.5 不明 XSS (PI82078)
medium Nessus Plugin ID 102199
語系:
概要
遠端 Web 應用程式伺服器受到一個跨網站指令碼弱點影響。說明
遠端主機上執行的 IBM WebSphere Application Server 版本為 7.0.0.45 之前的 7.0 版、8.0.0.14 之前的 8.0 版、8.5.5.12 之前的 8.5 版,或是 9.0.0.5 之前的 9.0 版。因此會受到一個跨網站指令碼缺陷影響,這是因為管理主控台並未驗證不明輸入即傳回給使用者所致。遠端攻擊者可藉以建立特製的要求,對處於瀏覽器與伺服器之間信任關係內的使用者瀏覽器工作階段,執行任意指令碼。解決方案
套用 IBM WebSphere Application Server 7.0 Fix Pack 45 (7.0.0.45) (可用目標時間為 2018 年第 2 季) / 8.0 Fix Pack 14 (8.0.0.14) (可用目標時間為 2017 年 10 月 16 日) / 8.5 Fix Pack 12 (8.5.5.12) / 9.0 Fix Pack 5 (9.0.0.5) (可用目標時間為 2017 年 9 月 29 日) 或更新版本。或者,依照供應商公告中的建議,套用適當的過渡期修正 PI82078。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 102199
檔案名稱: websphere_cve-2017-1380.nasl
版本: 1.5
類型: remote
系列: Web Servers
已發布: 2017/8/4
已更新: 2019/11/12
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.0
CVSS v2
風險因素: Low
基本分數: 3.5
時間分數: 2.6
媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2017-1380
CVSS v3
風險因素: Medium
基本分數: 5.4
時間分數: 4.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:ibm:websphere_application_server
必要的 KB 項目: Settings/ParanoidReport, www/WebSphere
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2017/7/20
弱點發布日期: 2017/7/20
參考資訊
CVE: CVE-2017-1380
BID: 99961