IBM WebSphere Portal theme组件目录遍历漏洞

日期: 2012/12/13 | 标签:ibm | 游览：295

漏洞起因
目录遍历错误
危险等级
中

影响系统
IBM WebSphere Portal 7.x
IBM WebSphere Portal 8.x

不受影响系统

危害
远程攻击者可以利用漏洞以WEB权限读取系统文件内容。

攻击所需条件
攻击者必须访问IBM WebSphere Portal theme组件。

漏洞信息
IBM WebSphere Portal提供了一个组合应用程序或业务mashup框架，并且提供了一种高级工具来构造灵活的，基于SOA的解决方案。
IBM WebSphere Portal theme组件LayerLoader.jsp脚本存在目录遍历漏洞，允许攻击者构建特制的URI，读取系统文件内容。

测试方法

厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息：
http://www-01.ibm.com/support/docview.wss?uid=swg1PM76354

漏洞提供者
vendor

← Apache HTTP Server mod_proxy_ajp模块拒绝服务漏洞

IBM WebSphere Message Broker文件系统不安全文件权限漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

IBM WebSphere Portal theme组件目录遍历漏洞

评论关闭。