检测

IBM WebSphere Application Server 7.0 < Fix Pack 27 多种漏洞

medium Nessus 插件 ID 64097

语言:

简介

远程应用程序服务器可能受到多种漏洞影响。

描述

远程主机上运行的似乎是 Fix Pack 27 之前的 IBM WebSphere Application Server 7.0 版。因此,它可能会受到以下漏洞的影响:

- 存在与代理服务器组件有关的请求验证错误,可允许远程攻击者造成代理状态被报告为“已禁用”,从而拒绝应用程序对代理的访问。
 (CVE-2012-3330、PM71319)

- 存在用户提供的输入验证错误,可允许执行跨站请求伪造 (CSRF) 攻击。(CVE-2012-4853、PM62920)

- 存在与管理控制台有关的不明错误,可允许跨站脚本攻击。
 (CVE-2013-0458、CVE-2013-0459、CVE-2013-0460、PM71139、PM72536、PM72275)

- 存在与“Virtual Member Manager”(VMM) 的管理控制台有关的不明错误,可允许跨站脚本。
 (CVE-2013-0461、PM71389)

解决方案

如果使用 WebSphere Application Server,请应用 Fix Pack 27 (7.0.0.27) 或更高版本。

否则,如果正在使用 Tivoli Directory Server 随附的嵌入式 WebSphere Application Server,请联系供应商了解更多信息,因为 IBM 当前尚未发行针对该问题的 Fix Pack 27。

另见

http://www.nessus.org/u?c8df3590

http://www.nessus.org/u?85335f50

http://www.nessus.org/u?6249ee05

http://www.nessus.org/u?5ae80ba2

插件详情

严重性: Medium

ID: 64097

文件名: websphere_7_0_0_27.nasl

版本: 1.11

类型: remote

系列: Web Servers

发布时间: 2013/1/25

最近更新时间: 2019/12/4

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2013-0460

漏洞信息

CPE: cpe:/a:ibm:websphere_application_server

必需的 KB 项: www/WebSphere

易利用性: No known exploits are available

补丁发布日期: 2013/1/21

漏洞发布日期: 2012/10/26

参考资料信息

CVE: CVE-2012-3330, CVE-2012-4853, CVE-2013-0458, CVE-2013-0459, CVE-2013-0460, CVE-2013-0461

BID: 56458, 56459, 57508, 57509, 57510, 57512

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990