IBM WebSphere Application Server 8.0 < Fix Pack 8 多个漏洞
medium Nessus 插件 ID 72062
语言:
简介
远程应用程序服务器可能受到多种漏洞影响。描述
远程主机上运行的似乎是 Fix Pack 8 之前的 IBM WebSphere Application Server 8.0。因此,它可能会受到以下漏洞的影响:- IBM WebSphere Application Server 中存在 CSRF 漏洞,这是未正确验证管理控制台中的 portlet 所致。(CVE-2013-0460、PM72275)
- 使用 WS-Security 的 IBM WebSphere Application Server(使用信任存储针对 XML 数字签名进行配置)中存在权限升级漏洞。
(CVE-2013-4053、PM90949、PM91521)
- 由于未能审查 UDDI 管理控制台中用户提供的输入,IBM WebSphere Application Server 中存在 XSS 漏洞。
(CVE-2013-4052、PM91892)
- IBM WebSphere Application Server(已从版本 6.1 或更高版本迁移)中存在权限升级漏洞。(CVE-2013-5414、PM92313)
- 由于未能审查应用程序 HTTP 响应数据,IBM WebSphere Application Server 中存在 XSS 漏洞。(CVE-2013-5417、PM93323、PM93944)
- IBM WebSphere Application Server 中存在 XSS 漏洞,这是未能清理管理控制台中用户提供的输入所致。(CVE-2013-5418、PM96477)
- IBM WebSphere Application Server 中存在 XSS 漏洞,这是未能清理管理控制台中用户提供的输入所致。(CVE-2013-6725、PM98132)
- 由于 Web 服务端点未能正确处理请求,IBM WebSphere Application Server 中存在拒绝服务漏洞。
(CVE-2013-6325、PM99450)
- 与 JSSE 相关的 IBM WebSphere Application Server 随附的用于 Java 的 IBM SDK 中存在信息泄露漏洞。(CVE-2013-5780)
- 与 XML 相关的 IBM WebSphere Application Server 随附的用于 Java 的 IBM SDK 中存在拒绝服务漏洞。(CVE-2013-5372)
- 与 JSSE 相关的 IBM WebSphere Application Server 随附的用于 Java 的 IBM SDK 中存在拒绝服务漏洞。(CVE-2013-5803)
解决方案
为 8.0 版 (8.0.0.8) 或更高版本应用 Fix Pack 8。另见
http://www.nessus.org/u?e351e029
插件详情
严重性: Medium
ID: 72062
文件名: websphere_8_0_0_8.nasl
版本: 1.5
类型: remote
系列: Web Servers
发布时间: 2014/1/20
最近更新时间: 2018/8/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: cpe:/a:ibm:websphere_application_server
必需的 KB 项: www/WebSphere
易利用性: No known exploits are available
补丁发布日期: 2014/1/15
漏洞发布日期: 2013/1/27
参考资料信息
CVE: CVE-2013-0460, CVE-2013-4052, CVE-2013-4053, CVE-2013-5372, CVE-2013-5414, CVE-2013-5417, CVE-2013-5418, CVE-2013-5780, CVE-2013-5803, CVE-2013-6325, CVE-2013-6725
BID: 57510, 62336, 62338, 63082, 63115, 63224, 63778, 63780, 63781, 65096, 65099