IBM WebSphere Portal 8.0.0.x < 8.0.0.1 CF15 / 8.5.0.0 < 8.5.0.0 CF05 多個 XSRF / XSS (PI34987、PI33329、PI35228)
medium Nessus Plugin ID 82029
語系:
概要
遠端 Windows 主機所安裝的入口網站軟體受到多個弱點影響。說明
遠端主機上安裝的 IBM WebSphere Portal 版本是比 8.0.0.1 累積修正 15 舊的 8.0.0.x 版 / 比 8.5.0.0 累積修正 05 舊的 8.5.0.0 版。因此,該應用程式受到多個弱點影響:- 存在一個不明 XSRF 弱點,這是因為不當驗證使用者提供的輸入所致。遠端攻擊者可趁機執行經驗證的動作、Web 快取毒害及其他惡意活動。
(CVE-2014-6214 / PI34987)
- 存在多個不明 XSS 弱點,這是因為不當驗證使用者提供的輸入所致。遠端攻擊者可利用這些問題,在使用者的瀏覽器中執行任意指令碼。(CVE-2015-0139 / PI33329、CVE-2015-0177 / PI35228 )
解決方案
持有 IBM WebSphere Portal 8.0.0.x 的客戶應升級至 8.0.0.1 CF15,然後套用過渡期修正 PI34987 和 PI33329。持有 IBM WebSphere Portal 8.5.0 的客戶應升級至 8.5.0 CF05 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 82029
檔案名稱: websphere_portal_swg21697213.nasl
版本: 1.4
類型: local
系列: CGI abuses
已發布: 2015/3/24
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.9
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
CPE: cpe:/a:ibm:websphere_portal
必要的 KB 項目: installed_sw/IBM WebSphere Portal
可輕鬆利用: No exploit is required
修補程式發佈日期: 2015/3/5
弱點發布日期: 2015/3/5