IBM WebSphere Portal 8.5.0 < 8.5.0 CF03 多种漏洞

medium Nessus 插件 ID 78742

语言：

简介

远程 Windows 主机安装有受多种漏洞影响的 Web 门户软件。

描述

远程主机上安装的 IBM WebSphere Portal 版本受到多种漏洞的影响：

- Apache Cordova 组件中存在多种漏洞，包括跨应用程序脚本、安全绕过和信息泄露。
（CVE-2014-3500、CVE-2014-3501、CVE-2014-3502）

- 存在一个信息泄露缺陷，经过身份验证的远程攻击者可利用此缺陷，通过读取 HTML 源代码获取凭据。(CVE-2014-4761)

- 存在一个不明漏洞，允许经过身份验证的攻击者在系统中执行任意代码。(CVE-2014-4808)

- 存在一个由实体扩展期间的错误递归检测造成的缺陷。通过诱使用户打开特别构建的 XML 文档，攻击者可使系统崩溃，从而导致拒绝服务。(CVE-2014-4814)

- 存在信息泄露漏洞，使远程攻击者可根据 Web 服务器错误代码识别文件是否存在。
(CVE-2014-4821)

- Preview 插件的 CKEditor 中存在一个缺陷，允许跨站脚本攻击。存在该缺陷的原因是“plugins/preview/preview.html'”在将用户提供的输入返回给用户之前未对其进行正确验证。攻击者可利用此缺陷，通过发送特别构建的请求来窃取基于 Cookie 的认证凭据。(CVE-2014-5191)

- 由于未正确验证用户提供的输入，存在一个跨站请求伪造漏洞。远程攻击者可利用此漏洞，通过诱使用户访问恶意网站，执行跨站脚本攻击、Web 缓存中毒和其他恶意活动。(CVE-2014-6125)

- 由于没有正确验证用户提供的输入，因而存在跨站脚本漏洞。远程攻击者可在托管站点的上下文中通过受害者的 Web 浏览器执行代码。这可对用户基于 Cookie 的认证凭据造成危害。(CVE-2014-6126)

- 由于没有正确验证用户输入，因而存在不明的跨站脚本漏洞。
(CVE-2014-4762)