The version of IBM WebSphere Portal installed on the remote host is affected by multiple vulnerabilities :

  - An unspecified denial of service vulnerability exists     that allows a remote attacker to crash the host by     sending a specially crafted web request. (CVE-2014-0949)

  - A cross-site scripting (XSS) vulnerability exists in the     'FilterForm.jsp' script due to improper user input     validation. An attacker can exploit the vulnerability to     execute code in the security context of a user's browser     to steal authentication cookies. (CVE-2014-0951)

  - An unspecified open redirect vulnerability exists that     allows an attacker to perform a phishing attack by     enticing a user to click on a malicious URL.
    (CVE-2014-0958)

The version of IBM WebSphere Portal on the remote host is affected by multiple vulnerabilities :

  - A denial of service vulnerability exists in the Apache     Commons FileUpload library that allows an attacker to     cause the application to enter an infinite loop.
    (CVE-2014-0050)

  - An unspecified denial of service vulnerability exists     that allows a remote attacker to crash the host by     sending a specially crafted web request.
    (CVE-2014-0949)

  - A cross-site scripting (XSS) vulnerability exists in the     'FilterForm.jsp' script due to improper user input     validation. (CVE-2014-0951)

  - An XSS vulnerability exists in the 'boot_config.jsp'     script due to improper user input validation.
    (CVE-2014-0952)

  - An unspecified XSS vulnerability exists due to improper     validation of user input. (CVE-2014-0953)

  - A privilege escalation vulnerability exists in the Web     Content Viewer portlet due to improper handling of JSP     includes. A remote attacker can exploit this issue to     obtain sensitive information, cause a denial of service,     or control the request dispatcher by sending a specially     crafted URL request. (CVE-2014-0954)

  - An XSS vulnerability exists in the Social Rendering     feature due to improper validation of user input. Note     that this only affects installs using IBM Connections     with the Social Rendering feature. (CVE-2014-0955)

  - An unspecified XSS vulnerability exists due to improper     validation of user input in a JSP script.
    (CVE-2014-0956)

  - An unspecified open redirect vulnerability exists that     allows an attacker to perform a phishing attack by     enticing a user to click on a malicious URL.
    (CVE-2014-0958)

  - An unspecified denial of service vulnerability exists     that allows an authenticated attacker to cause a     successful login to loop back to the login page     indefinitely. (CVE-2014-0959)

An attacker can exploit the XSS vulnerabilities to execute code in the security context of a user's browser in order to steal authentication cookies.

リモートホストにあるバージョンの IBM WebSphere Portal が、ユーザー入力の検証が不適切なために、「FilterForm.jsp」スクリプトでのクロスサイトスクリプティング脆弱性の影響を受けます。攻撃者がこの問題を悪用して、ユーザーのブラウザのセキュリティコンテキストでコードを実行し、認証クッキーを盗用することがあります。

リモートホストにインストールされている IBM WebSphere Portal のバージョンは、複数の脆弱性の影響を受けます。

  - 詳細不明なサービス拒否の脆弱性が存在するため、リモートの攻撃者は、特別に細工された Web リクエストを送信することで、ホストをクラッシュさせることができます。（CVE-2014-0949）

  - ユーザー入力の検証が適切でないため、「FilterForm.jsp」スクリプトにクロスサイトスクリプティング（XSS）の脆弱性が存在します。攻撃者がこの脆弱性を悪用して、ユーザーのブラウザのセキュリティコンテキストでコードを実行し、認証クッキーを盗み出す可能性があります。（CVE-2014-0951）

  - 詳細不明のオープンリダイレクトの脆弱性が存在し、攻撃者は、ユーザーが悪意のある URL をクリックするように誘導することで、フィッシング攻撃を実行することが可能です。
    （CVE-2014-0958）

The version of IBM WebSphere Portal on the remote host is affected by a cross-site scripting vulnerability in the 'FilterForm.jsp' script due to improper user input validation. An attacker can exploit this issue to execute code in the security context of a user's browser to steal authentication cookies.

远程主机上的 IBM WebSphere Portal 版本受到“FilterForm.jsp”脚本中的一个跨站脚本漏洞的影响，造成该漏洞的原因是错误的用户输入验证。攻击者可利用此问题在用户浏览器的安全环境中执行代码，以窃取认证 Cookie。

遠端主機上的 IBM WebSphere Portal 版本受到多個弱點影響：

- Apache Commons FileUpload 程式庫中存在一個拒絕服務弱點，其允許攻擊者造成應用程式進入無限迴圈。
 (CVE-2014-0050)

- 存在一個不明的拒絕服務弱點，可允許遠端攻擊者透過傳送特製 Web 要求導致主機當機。
 (CVE-2014-0949)

- 'FilterForm.jsp' 指令碼因使用者輸入驗證錯誤而存在一個跨網站指令碼 (XSS) 弱點。(CVE-2014-0951)

-「boot_config.jsp」指令碼存在一個因不當驗證使用者輸入而導致的 XSS 弱點。
 (CVE-2014-0952)

- 存在一個因不當驗證使用者輸入而導致的不明 XSS 弱點。(CVE-2014-0953)

- Web Content Viewer Portlet 中存在一個權限提升弱點，因為 JSP 包含的處理不不當。遠端攻擊者可惡意利用此問題，透過傳送特製 URL 要求來取得敏感資訊、引發拒絕服務或控制要求分派程式。(CVE-2014-0954)

-「社群轉譯」功能存在一個因不當驗證使用者輸入而導致的 XSS 弱點。請注意，只有使用社群轉譯功能的 IBM Connections 安裝項目會受到此弱點影響。(CVE-2014-0955)

- 存在一個因不當驗證使用者在 JSP 指令碼中的輸入，而導致的不明 XSS 弱點。
 (CVE-2014-0956)

- 存在一個不明開放重新導向弱點，允許攻擊者透過引誘使用者點擊惡意 URL，發動網路釣魚攻擊。
 (CVE-2014-0958)

- 存在一個不明的拒絕服務弱點，其會允許未經驗證的攻擊者導致成功的登入，以迴圈無限地回到登入頁面。(CVE-2014-0959)

攻擊者可利用 XSS 弱點，在使用者的瀏覽器安全性內容中執行程式碼，從而竊取驗證 Cookie。

リモートホスト上の IBM WebSphere Portal のバージョンは、複数の脆弱性の影響を受けます。

- Apache Commons FileUpload ライブラリにサービス拒否の脆弱性が存在します。これにより、攻撃者がアプリケーションを無限ループに陥ることができます。
 （CVE-2014-0050）

- 詳細不明なサービス拒否の脆弱性が存在するため、リモートの攻撃者は、特別に細工された Web リクエストを送信することで、ホストをクラッシュさせることができます。
 （CVE-2014-0949）

- ユーザー入力の検証が適切でないため、「FilterForm.jsp」スクリプトにクロスサイトスクリプティング（XSS）の脆弱性が存在します。（CVE-2014-0951）

- ユーザー入力の不適切な検証により、「boot_config.jsp」スクリプトに XSS の脆弱性が存在します。
 （CVE-2014-0952）

- ユーザー入力の不適切な検証により、詳細不明な XSS の脆弱性が存在します。（CVE-2014-0953）

- JSP includes の不適切な処理により、Web コンテキストビューアーポートレットに権限昇格の脆弱性が存在します。リモートの攻撃者はこの欠陥を悪用して、機密情報を入手したり、サービス拒否を引き起こしたり、または特別に細工された URL リクエストを送信することでリクエストディスパッチャーをコントロールしたりする可能性があります。（CVE-2014-0954）

- ユーザー入力の不適切な検証により、Social Rendaring 機能に XSS の脆弱性が存在します。注意：この問題の影響を受けるのは、Social Rendering 機能を持つ IBM Connections を使用したインストールのみです。（CVE-2014-0955）

- JSP スクリプトにおけるユーザー入力の不適切な検証により、詳細不明な XSS の脆弱性が存在します。
 （CVE-2014-0956）

- 詳細不明のオープンリダイレクトの脆弱性が存在し、攻撃者は、ユーザーが悪意のある URL をクリックするように誘導することで、フィッシング攻撃を実行することが可能です。
 （CVE-2014-0958）

- 詳細不明のサービス拒否の脆弱性が存在するため、認証された攻撃者がログインに成功してログインページに永久にループバックする可能性があります。（CVE-2014-0959）

攻撃者が XSS 脆弱性を悪用して、認証クッキーを盗み出すために、ユーザーのブラウザのセキュリティコンテキストでコードを実行する可能性があります。

遠端主機上安裝的 IBM WebSphere Portal 版本受到多個弱點影響：

  - 存在不明的拒絕服務弱點，遠端攻擊者可利用此弱點，透過傳送特別建構的 Web 要求導致主機當機。(CVE-2014-0949)

  - 'FilterForm.jsp' 指令碼因使用者輸入驗證錯誤而存在一個跨網站指令碼 (XSS) 弱點。攻擊者可利用此弱點，在使用者的瀏覽器安全性內容中執行程式碼，從而竊取驗證 Cookie。(CVE-2014-0951)

  - 存在一個不明開放重新導向弱點，允許攻擊者透過引誘使用者點擊惡意 URL，發動網路釣魚攻擊。
    (CVE-2014-0958)

远程主机上安装的 IBM WebSphere Portal 版本受到多种漏洞的影响：

- Apache Commons FileUpload 库中存在一个拒绝服务漏洞，允许攻击者导致应用程序进入无限循环。
 (CVE-2014-0050)

- 存在不明的拒绝服务漏洞，远程攻击者可利用此漏洞通过发送特别构建的 Web 请求导致主机崩溃。
 (CVE-2014-0949)

- 由于没有对用户输入进行正确验证，“FilterForm.jsp”脚本存在跨站脚本 (XSS) 漏洞。(CVE-2014-0951)

- 由于未正确验证用户输入，“boot_config.jsp”脚本中存在一个 XSS 漏洞。
 (CVE-2014-0952)

- 存在一个不明 XSS 漏洞，原因是未正确验证用户输入。(CVE-2014-0953)

- 由于没有正确处理 JSP 包含，Web 内容查看器 portlet 存在权限升级漏洞。远程攻击者可利用该问题通过发送特别构建的 URL 请求，获得敏感信息，造成拒绝服务，或控制请求调度程序。(CVE-2014-0954)

- Social Rendering 功能中存在一个 XSS 漏洞，原因是未正确验证用户输入。请注意，此问题仅影响使用具有 Social Rendering 功能的 IBM Connections 的安装版本。(CVE-2014-0955)

- 存在一个不明 XSS 漏洞，原因是未正确验证 JSP 脚本中的用户输入。
 (CVE-2014-0956)

- 存在不明的开放重定向漏洞，允许攻击者通过诱使用户点击恶意 URL 来执行钓鱼攻击。
 (CVE-2014-0958)

- 存在不明拒绝服务漏洞，允许经过授权的攻击者导致成功登录，无限循环回登录页面。(CVE-2014-0959)

攻击者可利用 XSS 漏洞在用户浏览器的安全环境中执行代码，从而窃取认证 Cookie。

远程主机上安装的 IBM WebSphere Portal 版本受到多种漏洞的影响：

  - 存在不明拒绝服务漏洞，远程攻击者可利用此漏洞，通过发送特别构建的 Web 请求导致主机崩溃。(CVE-2014-0949)

  - 由于没有对用户输入进行正确验证，“FilterForm.jsp”脚本存在跨站脚本 (XSS) 漏洞。攻击者可利用此漏洞，在用户浏览器的安全环境中执行代码，从而窃取认证 Cookie。(CVE-2014-0951)

  - 存在不明的开放重定向漏洞，允许攻击者通过诱使用户点击恶意 URL 来执行钓鱼攻击。
    (CVE-2014-0958)

由於使用者輸入驗證不當，導致遠端主機上的 IBM WebSphere Portal 版本受到「FilterForm.jsp」指令碼中的一個跨網站指令碼弱點影響。攻擊者可利用此問題，在使用者的瀏覽器安全性內容中執行程式碼，從而竊取驗證 Cookie。

ID	名稱	產品	系列	已發布	已更新	嚴重性
74155	IBM WebSphere Portal 7.0.0.x < 7.0.0.2 CF28 Multiple Vulnerabilities	Nessus	CGI abuses	2014/5/23	2021/1/19	medium
74156	IBM WebSphere Portal 8.x < 8.0.0.1 CF12 Multiple Vulnerabilities	Nessus	CGI abuses	2014/5/23	2021/1/19	high
74158	IBM WebSphere Portal 「FilterForm.jsp」の XSS（PI15690）	Nessus	CGI abuses : XSS	2014/5/23	2021/1/19	medium
74155	IBM WebSphere Portal 7.0.0.x < 7.0.0.2 CF28 多数の脆弱性	Nessus	CGI abuses	2014/5/23	2021/1/19	medium
74158	IBM WebSphere Portal 'FilterForm.jsp' XSS (PI15690)	Nessus	CGI abuses : XSS	2014/5/23	2021/1/19	medium
74158	IBM WebSphere Portal“FilterForm.jsp”XSS (PI15690)	Nessus	CGI abuses : XSS	2014/5/23	2021/1/19	medium
74156	IBM WebSphere Portal 8.x < 8.0.0.1 CF12 多個弱點	Nessus	CGI abuses	2014/5/23	2021/1/19	high
74156	IBM WebSphere Portal 8.x < 8.0.0.1 CF12 複数の脆弱性	Nessus	CGI abuses	2014/5/23	2021/1/19	high
74155	IBM WebSphere Portal 7.0.0.x < 7.0.0.2 CF28 多個弱點	Nessus	CGI abuses	2014/5/23	2021/1/19	medium
74156	IBM WebSphere Portal 8.x < 8.0.0.1 CF12 多种漏洞	Nessus	CGI abuses	2014/5/23	2021/1/19	high
74155	IBM WebSphere Portal 7.0.0.x < 7.0.0.2 CF28 多种漏洞	Nessus	CGI abuses	2014/5/23	2021/1/19	medium
74158	IBM WebSphere Portal「FilterForm.jsp」XSS (PI15690)	Nessus	CGI abuses : XSS	2014/5/23	2021/1/19	medium

偵測

搜尋 Plugin

medium

high

medium

medium

medium

medium

high

high

medium

high

medium

medium