IBM WebSphere Portal 8.x < 8.0.0.1 CF12 多個弱點

high Nessus Plugin ID 74156
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Windows 主機所安裝的入口網站軟體受到多個弱點影響。

描述

遠端主機上的 IBM WebSphere Portal 版本受到多個弱點影響:

- Apache Commons FileUpload 程式庫中存在一個拒絕服務弱點,其允許攻擊者造成應用程式進入無限迴圈。
(CVE-2014-0050)

- 存在一個不明的拒絕服務弱點,可允許遠端攻擊者透過傳送特製 Web 要求導致主機當機。
(CVE-2014-0949)

- 'FilterForm.jsp' 指令碼因使用者輸入驗證錯誤而存在一個跨網站指令碼 (XSS) 弱點。(CVE-2014-0951)

-「boot_config.jsp」指令碼存在一個因不當驗證使用者輸入而導致的 XSS 弱點。
(CVE-2014-0952)

- 存在一個因不當驗證使用者輸入而導致的不明 XSS 弱點。(CVE-2014-0953)

- Web Content Viewer Portlet 中存在一個權限提升弱點,因為 JSP 包含的處理不不當。遠端攻擊者可惡意利用此問題,透過傳送特製 URL 要求來取得敏感資訊、引發拒絕服務或控制要求分派程式。(CVE-2014-0954)

-「社群轉譯」功能存在一個因不當驗證使用者輸入而導致的 XSS 弱點。請注意,只有使用社群轉譯功能的 IBM Connections 安裝項目會受到此弱點影響。(CVE-2014-0955)

- 存在一個因不當驗證使用者在 JSP 指令碼中的輸入,而導致的不明 XSS 弱點。
(CVE-2014-0956)

- 存在一個不明開放重新導向弱點,允許攻擊者透過引誘使用者點擊惡意 URL,發動網路釣魚攻擊。
(CVE-2014-0958)

- 存在一個不明的拒絕服務弱點,其會允許未經驗證的攻擊者導致成功的登入,以迴圈無限地回到登入頁面。(CVE-2014-0959)

攻擊者可利用 XSS 弱點,在使用者的瀏覽器安全性內容中執行程式碼,從而竊取驗證 Cookie。

解決方案

IBM 已發佈針對 WebSphere Portal 8.0.0.1 的累積修正 (CF12)。如需詳細資訊,請參閱 IBM 的公告。

另請參閱

http://www-01.ibm.com/support/docview.wss?uid=swg21672572

http://www.nessus.org/u?12fd87aa

http://www-01.ibm.com/support/docview.wss?uid=swg21672575

http://www.nessus.org/u?4e5ca5ae

https://www-304.ibm.com/support/docview.wss?uid=swg21680230

http://www.nessus.org/u?ad660435

http://xforce.iss.net/xforce/xfdb/92622

http://xforce.iss.net/xforce/xfdb/92624

http://xforce.iss.net/xforce/xfdb/92625

http://web.archive.org/web/20140903072727/http://xforce.iss.net:80/xforce/xfdb/92626

http://xforce.iss.net/xforce/xfdb/92627

http://xforce.iss.net/xforce/xfdb/92628

http://xforce.iss.net/xforce/xfdb/92629

http://xforce.iss.net/xforce/xfdb/92739

http://xforce.iss.net/xforce/xfdb/92741

Plugin 詳細資訊

嚴重性: High

ID: 74156

檔案名稱: websphere_portal_8_0_0_1_cf12.nasl

版本: 1.13

類型: local

系列: CGI abuses

已發布: 2014/5/23

已更新: 2021/1/19

相依性: websphere_portal_installed.nbin

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.9

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

時間媒介: E:POC/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:ibm:websphere_portal

必要的 KB 項目: installed_sw/IBM WebSphere Portal

可被惡意程式利用: true

可輕鬆利用: No exploit is required

修補程式發佈日期: 2014/5/13

弱點發布日期: 2014/2/6

參考資訊

CVE: CVE-2014-0050, CVE-2014-0949, CVE-2014-0951, CVE-2014-0952, CVE-2014-0953, CVE-2014-0954, CVE-2014-0955, CVE-2014-0956, CVE-2014-0958, CVE-2014-0959

BID: 65400, 67412, 67413, 67414, 67415, 67417, 67418, 67419, 67421, 69042

EDB-ID: 31615

CWE: 20, 74, 79, 442, 629, 711, 712, 722, 725, 750, 751, 800, 801, 809, 811, 864, 900, 928, 931, 990