Cross-Site Request Forgery en IBM WebSphere Application Server

IBM publicó un Fix Pack para corregir una vulnerabilidad en IBM WebSphere Application Server que permite a un atacante remoto forzar a un administrador a realizar acciones no deseadas en la consola de administración.

IBM WebSphere Application Server (WAS) puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Afecta a IBM WebSphere Application Server versiones 8.0. La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios cruzados. El servidor no comprueba la procedencia de las peticiones HTTP sobre la interfaz de administración del servidor. Si un administrador con una sesión válida visita una página especialmente manipulada los atacantes pueden ejecutar acciones con privilegio de administrador sobre el servidor.

Para corregir este problema se ha publicado el Fix Pack 1 (APAR PM36734) para IBM WebSphere Application Server V8.0 (8.0.0.1) disponible desde http://www-01.ibm.com/support/docview.wss?uid=swg27022958

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4721