Han anunciado una vulnerabilidad de cross-site scripting en IBM WebSphere Portal 6.1.0.1. Un atacante remoto puede emplear este problema para ejecutar código script arbitrario.
IBM WebSphere Portal ofrece una aplicación compuesta de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una gran variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.
El problema existe en un error de validación de entradas en "SemanticTagService.js". Un atacante remoto puede crear una URL que al ser cargada por el usuario permita la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con esto el atacante puede acceder a las cookies y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
IBM ha publicado una actualización para evitar este problema, disponible con la identificación APAR PK91972: http://www-01.ibm.com/support/docview.wss?uid=swg1PK91972
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4392
No hay comentarios:
Publicar un comentario