漏洞起因
目录遍历错误
危险等级
中
影响系统
IBM WebSphere Portal 7.x
IBM WebSphere Portal 8.x
不受影响系统
危害
远程攻击者可以利用漏洞以WEB权限读取系统文件内容。
攻击所需条件
攻击者必须访问IBM WebSphere Portal theme组件。
漏洞信息
IBM WebSphere Portal提供了一个组合应用程序或业务mashup框架,并且提供了一种高级工具来构造灵活的,基于SOA的解决方案。
IBM WebSphere Portal theme组件LayerLoader.jsp脚本存在目录遍历漏洞,允许攻击者构建特制的URI,读取系统文件内容。
测试方法
厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息:
http://www-01.ibm.com/support/docview.wss?uid=swg1PM76354
漏洞提供者
vendor
评论关闭。