IBM WebSphere Portal 6.1.0.x < 6.1.0.6 CF27 多個弱點

medium Nessus Plugin ID 78739

語系：

概要

遠端 Windows 主機所安裝的入口網站軟體受到多個弱點影響。

說明

遠端主機上安裝的 IBM WebSphere Portal 版本是比 6.1.0.6 CF27 舊的 6.1.0.x 版。因此，該應用程式受到多個弱點影響：

- 「boot_config.jsp」指令碼中存有一個因不當驗證使用者提供之輸入而引起的跨網站指令碼弱點。攻擊者可利用此問題，在使用者的瀏覽器安全性內容中，執行任意指令碼程式碼，從而竊取驗證 Cookie。
(CVE-2014-0952)

- 存有一個因不當驗證使用者提供之輸入而引起的不明跨網站指令碼弱點。攻擊者可利用此問題，在使用者的網頁瀏覽器安全性內容中，執行任意指令碼程式碼，從而竊取驗證 Cookie。(CVE-2014-0956)

- 存在一個不明弱點，經驗證的攻擊者可利用此弱點，在系統上執行任意程式碼。(CVE-2014-4808)

- 存有一個因實體擴充期間不當遞迴偵測而引起的瑕疵。遠端攻擊者可透過特別建構的 XML 文件，造成系統當機，從而引發拒絕服務。(CVE-2014-4814)

- 存有一個資訊洩漏弱點，可能會讓遠端攻擊者根據 web 伺服器的錯誤碼判斷是否有檔案存在。
(CVE-2014-4821)

- 存有一個因不當驗證使用者提供之輸入而引起的不明反射跨網站指令碼弱點。遠端攻擊者可利用此瑕疵使用特製的 URL，在主控網站的安全性內容中，對使用者的網頁瀏覽器執行任意指令碼程式碼。攻擊者可藉此竊取使用者的 Cookie 型驗證憑證。(CVE-2014-6215)

- 存有一個因不當驗證使用者提供之輸入而引起的不明反射跨網站指令碼弱點。遠端攻擊者可利用此瑕疵使用特製的 URL，在主控網站的安全性內容中，對使用者的網頁瀏覽器執行任意指令碼程式碼。攻擊者可藉此竊取使用者的 Cookie 型驗證憑證。(CVE-2014-8909)

- 存有一個不明瑕疵，會在處理入口網站要求時觸發。遠端攻擊者可利用此缺陷造成 CPU 資源消耗，從而引發拒絕服務情形。(CVE-2015-1943)

- 存有一個因不當驗證使用者提供之輸入而引起的不明反射跨網站指令碼弱點。遠端攻擊者可利用此瑕疵使用特製的 URL，在主控網站的安全性內容中，對使用者的網頁瀏覽器執行任意指令碼程式碼。攻擊者可藉此竊取使用者的 Cookie 型驗證憑證。(CVE-2016-2925)