The version of IBM WebSphere Portal on the remote host is affected by multiple vulnerabilities :

  - A denial of service vulnerability exists in the Apache     Commons FileUpload library that allows an attacker to     cause the application to enter an infinite loop.
    (CVE-2014-0050)

  - An unspecified denial of service vulnerability exists     that allows a remote attacker to crash the host by     sending a specially crafted web request.
    (CVE-2014-0949)

  - A cross-site scripting (XSS) vulnerability exists in the     'FilterForm.jsp' script due to improper user input     validation. (CVE-2014-0951)

  - An XSS vulnerability exists in the 'boot_config.jsp'     script due to improper user input validation.
    (CVE-2014-0952)

  - An unspecified XSS vulnerability exists due to improper     validation of user input. (CVE-2014-0953)

  - A privilege escalation vulnerability exists in the Web     Content Viewer portlet due to improper handling of JSP     includes. A remote attacker can exploit this issue to     obtain sensitive information, cause a denial of service,     or control the request dispatcher by sending a specially     crafted URL request. (CVE-2014-0954)

  - An XSS vulnerability exists in the Social Rendering     feature due to improper validation of user input. Note     that this only affects installs using IBM Connections     with the Social Rendering feature. (CVE-2014-0955)

  - An unspecified XSS vulnerability exists due to improper     validation of user input in a JSP script.
    (CVE-2014-0956)

  - An unspecified open redirect vulnerability exists that     allows an attacker to perform a phishing attack by     enticing a user to click on a malicious URL.
    (CVE-2014-0958)

  - An unspecified denial of service vulnerability exists     that allows an authenticated attacker to cause a     successful login to loop back to the login page     indefinitely. (CVE-2014-0959)

An attacker can exploit the XSS vulnerabilities to execute code in the security context of a user's browser in order to steal authentication cookies.

リモートホスト上の IBM WebSphere Portal のバージョンは、複数の脆弱性の影響を受けます。

- Apache Commons FileUpload ライブラリにサービス拒否の脆弱性が存在します。これにより、攻撃者がアプリケーションを無限ループに陥ることができます。
 （CVE-2014-0050）

- 詳細不明なサービス拒否の脆弱性が存在するため、リモートの攻撃者は、特別に細工された Web リクエストを送信することで、ホストをクラッシュさせることができます。
 （CVE-2014-0949）

- ユーザー入力の検証が適切でないため、「FilterForm.jsp」スクリプトにクロスサイトスクリプティング（XSS）の脆弱性が存在します。（CVE-2014-0951）

- ユーザー入力の不適切な検証により、「boot_config.jsp」スクリプトに XSS の脆弱性が存在します。
 （CVE-2014-0952）

- ユーザー入力の不適切な検証により、詳細不明な XSS の脆弱性が存在します。（CVE-2014-0953）

- JSP includes の不適切な処理により、Web コンテキストビューアーポートレットに権限昇格の脆弱性が存在します。リモートの攻撃者はこの欠陥を悪用して、機密情報を入手したり、サービス拒否を引き起こしたり、または特別に細工された URL リクエストを送信することでリクエストディスパッチャーをコントロールしたりする可能性があります。（CVE-2014-0954）

- ユーザー入力の不適切な検証により、Social Rendaring 機能に XSS の脆弱性が存在します。注意：この問題の影響を受けるのは、Social Rendering 機能を持つ IBM Connections を使用したインストールのみです。（CVE-2014-0955）

- JSP スクリプトにおけるユーザー入力の不適切な検証により、詳細不明な XSS の脆弱性が存在します。
 （CVE-2014-0956）

- 詳細不明のオープンリダイレクトの脆弱性が存在し、攻撃者は、ユーザーが悪意のある URL をクリックするように誘導することで、フィッシング攻撃を実行することが可能です。
 （CVE-2014-0958）

- 詳細不明のサービス拒否の脆弱性が存在するため、認証された攻撃者がログインに成功してログインページに永久にループバックする可能性があります。（CVE-2014-0959）

攻撃者が XSS 脆弱性を悪用して、認証クッキーを盗み出すために、ユーザーのブラウザのセキュリティコンテキストでコードを実行する可能性があります。

遠端主機上的 IBM WebSphere Portal 版本受到多個弱點影響：

- Apache Commons FileUpload 程式庫中存在一個拒絕服務弱點，其允許攻擊者造成應用程式進入無限迴圈。
 (CVE-2014-0050)

- 存在一個不明的拒絕服務弱點，可允許遠端攻擊者透過傳送特製 Web 要求導致主機當機。
 (CVE-2014-0949)

- 'FilterForm.jsp' 指令碼因使用者輸入驗證錯誤而存在一個跨網站指令碼 (XSS) 弱點。(CVE-2014-0951)

-「boot_config.jsp」指令碼存在一個因不當驗證使用者輸入而導致的 XSS 弱點。
 (CVE-2014-0952)

- 存在一個因不當驗證使用者輸入而導致的不明 XSS 弱點。(CVE-2014-0953)

- Web Content Viewer Portlet 中存在一個權限提升弱點，因為 JSP 包含的處理不不當。遠端攻擊者可惡意利用此問題，透過傳送特製 URL 要求來取得敏感資訊、引發拒絕服務或控制要求分派程式。(CVE-2014-0954)

-「社群轉譯」功能存在一個因不當驗證使用者輸入而導致的 XSS 弱點。請注意，只有使用社群轉譯功能的 IBM Connections 安裝項目會受到此弱點影響。(CVE-2014-0955)

- 存在一個因不當驗證使用者在 JSP 指令碼中的輸入，而導致的不明 XSS 弱點。
 (CVE-2014-0956)

- 存在一個不明開放重新導向弱點，允許攻擊者透過引誘使用者點擊惡意 URL，發動網路釣魚攻擊。
 (CVE-2014-0958)

- 存在一個不明的拒絕服務弱點，其會允許未經驗證的攻擊者導致成功的登入，以迴圈無限地回到登入頁面。(CVE-2014-0959)

攻擊者可利用 XSS 弱點，在使用者的瀏覽器安全性內容中執行程式碼，從而竊取驗證 Cookie。

远程主机上安装的 IBM WebSphere Portal 版本受到多种漏洞的影响：

- Apache Commons FileUpload 库中存在一个拒绝服务漏洞，允许攻击者导致应用程序进入无限循环。
 (CVE-2014-0050)

- 存在不明的拒绝服务漏洞，远程攻击者可利用此漏洞通过发送特别构建的 Web 请求导致主机崩溃。
 (CVE-2014-0949)

- 由于没有对用户输入进行正确验证，“FilterForm.jsp”脚本存在跨站脚本 (XSS) 漏洞。(CVE-2014-0951)

- 由于未正确验证用户输入，“boot_config.jsp”脚本中存在一个 XSS 漏洞。
 (CVE-2014-0952)

- 存在一个不明 XSS 漏洞，原因是未正确验证用户输入。(CVE-2014-0953)

- 由于没有正确处理 JSP 包含，Web 内容查看器 portlet 存在权限升级漏洞。远程攻击者可利用该问题通过发送特别构建的 URL 请求，获得敏感信息，造成拒绝服务，或控制请求调度程序。(CVE-2014-0954)

- Social Rendering 功能中存在一个 XSS 漏洞，原因是未正确验证用户输入。请注意，此问题仅影响使用具有 Social Rendering 功能的 IBM Connections 的安装版本。(CVE-2014-0955)

- 存在一个不明 XSS 漏洞，原因是未正确验证 JSP 脚本中的用户输入。
 (CVE-2014-0956)

- 存在不明的开放重定向漏洞，允许攻击者通过诱使用户点击恶意 URL 来执行钓鱼攻击。
 (CVE-2014-0958)

- 存在不明拒绝服务漏洞，允许经过授权的攻击者导致成功登录，无限循环回登录页面。(CVE-2014-0959)

攻击者可利用 XSS 漏洞在用户浏览器的安全环境中执行代码，从而窃取认证 Cookie。

ID	名稱	產品	系列	已發布	已更新	嚴重性
74156	IBM WebSphere Portal 8.x < 8.0.0.1 CF12 Multiple Vulnerabilities	Nessus	CGI abuses	2014/5/23	2021/1/19	high
74156	IBM WebSphere Portal 8.x < 8.0.0.1 CF12 複数の脆弱性	Nessus	CGI abuses	2014/5/23	2021/1/19	high
74156	IBM WebSphere Portal 8.x < 8.0.0.1 CF12 多個弱點	Nessus	CGI abuses	2014/5/23	2021/1/19	high
74156	IBM WebSphere Portal 8.x < 8.0.0.1 CF12 多种漏洞	Nessus	CGI abuses	2014/5/23	2021/1/19	high

偵測

搜尋 Plugin

high

high

high

high