IBM WebSphere Portal 8.0.0.x < 8.0.0.1 CF21 多個弱點
medium Nessus Plugin ID 93026
語系:
概要
遠端 Windows 主機上安裝的 web 入口網站軟體受到多個弱點影響。說明
遠端 Windows 主機上安裝的 IBM WebSphere Portal 版本是比 8.0.0.1 CF21 舊的 8.0.0.x 版。因此,會受到多個弱點影響:- 存有一個因不當驗證使用者提供之輸入而引起的跨網站指令碼 (XSS) 弱點。未經驗證的遠端攻擊者可利用此瑕疵,使用特製的要求,在使用者的瀏覽器工作階段內,執行任意指令碼。(CVE-2016-2925)
- 由於未針對透過 WAB 轉送傳輸的 cookie 設定「Secure」旗標,存在一個資訊洩漏弱點,會導致以純文字傳輸資訊。攔截式攻擊者可加以惡意利用,藉此洩漏敏感資訊。(VulnDB 142228)
- 入口網站模型 REST 摘要存在一個因洩漏版本資訊而導致的資訊洩漏弱點。未經驗證的遠端攻擊者可惡意利用此弱點洩漏敏感的版本資訊。
(VulnDB 142229)
解決方案
升級至 IBM WebSphere Portal 8.0.0.1 累積修正 21 (CF21) 或更新版本。另請參閱
http://www-01.ibm.com/support/docview.wss?uid=swg24034497#CF21
Plugin 詳細資訊
嚴重性: Medium
ID: 93026
檔案名稱: websphere_portal_8_0_0_1_cf21.nasl
版本: 1.8
類型: local
系列: CGI abuses
已發布: 2016/8/18
已更新: 2019/11/14
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.0
CVSS v2
風險因素: Low
基本分數: 3.5
時間分數: 2.6
媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2016-2925
CVSS v3
風險因素: Medium
基本分數: 5.4
時間分數: 4.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:ibm:websphere_portal
必要的 KB 項目: installed_sw/IBM WebSphere Portal
可輕鬆利用: No exploit is required
修補程式發佈日期: 2015/7/26
弱點發布日期: 2015/7/26
參考資訊
CVE: CVE-2016-2925
BID: 92180