IBM WebSphere Application Server 8.0 < Fix Pack 6 多种漏洞
critical Nessus 插件 ID 66374
语言:
简介
远程应用程序服务器可能受到多种漏洞影响。描述
远程主机上运行的似乎是 Fix Pack 6 之前的 IBM WebSphere Application Server 8.0 版。因此,它可能会受到以下漏洞的影响:- 存在一个输入验证错误,可允许跨站请求伪造 (CSRF) 攻击。
(CVE-2012-4853/ PM62920)
- 包括的 Java SDK 包含多个直接影响应用程序的错误。(CVE-2013-0169、CVE-2013-0440、CVE-2013-0443)
- 存在与管理控制台有关的输入验证错误,可允许跨站脚本攻击。(CVE-2013-0458 / PM71139、CVE-2013-0461 / PM71389、CVE-2013-0542 / PM81846)
- 存在与管理控制台有关的输入验证错误,可允许跨站脚本攻击。请注意,此问题仅影响 z/OS 操作系统上运行的应用程序。
(CVE-2013-0459/ PM72536)
- 不明错误可允许认证用户安全绕过。(CVE-2013-0462 / PM76886 或 PM79937)
- 存在与“WS-Security”和 SOAP 消息处理相关的错误,可允许攻击者伪造消息签名。(CVE-2013-0482/ PM76582)
- 存在关于“WebSphere Identity Manger (WIM)”的缓冲区溢出错误,可导致拒绝服务攻击。(CVE-2013-0541/ PM74909)
- 不明错误可允许安全绕过,从而允许远程攻击者访问 HP、Linux 和 Solaris 主机上的受限制内容。
(CVE-2013-0543/ PM75582)
- 与管理控制台相关的不明错误可允许对 Unix 和 Linux 主机执行目录遍历攻击。(CVE-2013-0544/ PM82468)
解决方案
请为 8.0 版 (8.0.0.6) 或更高版本应用 Fix Pack 6。另见
http://www-01.ibm.com/support/docview.wss?uid=swg21634646
插件详情
严重性: Critical
ID: 66374
文件名: websphere_8_0_0_6.nasl
版本: 1.15
类型: remote
系列: Web Servers
发布时间: 2013/5/10
最近更新时间: 2022/12/5
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2013-0462
漏洞信息
CPE: cpe:/a:ibm:websphere_application_server
必需的 KB 项: www/WebSphere
易利用性: No known exploits are available
补丁发布日期: 2013/4/29
漏洞发布日期: 2013/1/21
参考资料信息
CVE: CVE-2012-4853, CVE-2013-0169, CVE-2013-0440, CVE-2013-0443, CVE-2013-0458, CVE-2013-0459, CVE-2013-0461, CVE-2013-0462, CVE-2013-0482, CVE-2013-0541, CVE-2013-0542, CVE-2013-0543, CVE-2013-0544
BID: 57778, 57702, 57712, 56458, 57512, 57513, 57508, 57509, 59246, 59247, 59248, 59250, 59251, 59252, 59650