漏洞起因
设计错误
危险等级
低
影响系统
IBM Websphere Application Server 7.0.3
IBM Websphere Application Server 7.0.9
IBM Websphere Application Server 7.0.8
IBM Websphere Application Server 7.0.12
IBM Websphere Application Server 7.0.11
IBM Websphere Application Server 7.0.11
IBM Websphere Application Server 7.0.0.7
IBM Websphere Application Server 7.0.0.5
IBM Websphere Application Server 7.0.0.1
IBM Websphere Application Server 7.0
不受影响系统
IBM Websphere Application Server 7.0.13
危害
远程攻击者可以利用漏洞获得敏感信息或进行某些管理操作。
攻击所需条件
攻击者必须访问IBM WebSphere Application Server。
漏洞信息
IBM WebSphere Application Server是一款商业性质的WEB应用服务程序。
IBM WebSphere Application Server for z/OS存在输入验证问题,攻击者可以进行跨站脚本和请求伪造攻击。
-部分输入在返回用户之前缺少过滤,可导致跨站脚本攻击,可在目标用户浏览器上执行任意HTML和脚本代码。
-存在请求伪造漏洞,攻击者可以构建恶意请求,诱使用户点击,导致以目标用户上下文执行某些管理操作。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www-01.ibm.com/support/docview.wss?uid=swg1PM23874
http://www-01.ibm.com/support/docview.wss?uid=swg21443736
漏洞提供者
IBM
0 条评论。