|
IBM WebSphere "uddigui/navigateTree.do" Cross-Site-Scripting- und Request-Forgery
|
|
|
|
|
Secunia Advisory:
|
SA27448
|
|
|
Herausgegeben:
|
2007-10-31
|
|
Last Update:
|
2007-11-05
|
|
|
Gefahrenstufe:
|
Mittelgradig kritisch
|
|
Auswirkung:
|
Cross-Site-Scripting
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Nicht gepatcht
|
|
| Software: | IBM WebSphere Application Server 6.0.x
IBM WebSphere Application Server 6.1.x
|
| | CVE reference: | CVE-2007-5798 (Secunia mirror)
CVE-2007-5799 (Secunia mirror)
|
|
|
This advisory is currently marked as unpatched!
- Companies can be alerted when a patch is released! |
|
|
Beschreibung:
IBM hat einige Sicherheitslücken in IBM WebSphere eingeräumt, die böswillige Personen ausnutzen können, um Cross-Site-Scripting- und Request-Forgery-Attacken durchzuführen.
Eingaben an die Parameter "keyField", "nameField", "valueField" und "frameReturn" in der Datei uddigui/navigateTree.do der UDDI-Benutzerkonsole werden nicht korrekt gefiltert, bevor sie zur Ausführung von bestimmten Aktionen verwendet oder an einen Benutzer zurückgegeben werden. Dies kann ausgenutzt werden, um im Kontext einer betroffenen Seite beliebigen HTML- und Scriptcode in der Browsersitzung eines Benutzers auszuführen oder bestimmte Aktionen durchzuführen, indem man einen Benutzer z.B. dazu bringt, eine bösartige Website zu besuchen.
Lösung:
Es ist geplant einen Fix im WebSphere Application Server 6.1.0 Fix Pack 13 (6.1.0.13) einzubinden.
Gemeldet und/oder entdeckt von:
Durch den Hersteller gemeldet.
Änderungen:
2007-11-05: CVE-Referenz hinzugefügt.
Original Advisory:
http://www-1.ibm.com/support/docview.wss?uid=swg1PK50245
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
29 Related Secunia Security Advisories, displaying 10
|
|
|
1. IBM WebSphere Application Server mehrere Sicherheitslücken
|
|
2. WebSphere Application Server zwei Sicherheitslücken
|
|
3. IBM WebSphere Application Server serveServletsByClassnameEnabled Preisgabe von Informationen
|
|
4. IBM WebSphere Application Server for z/OS HTTP Server Sicherheitslücke
|
|
5. IBM WebSphere Application Server Zwei Sicherheitslücken
|
|
6. IBM WebSphere Application Server unspezifizierte Sicherheitslücke
|
|
7. WebSphere Application Server für z/OS HTTP Server Denial of Service
|
|
8. IBM WebSphere Application Server for z/OS HTTP Server Sicherheitslücken
|
|
9. IBM WebSphere Application Server Unspezifizierte Sicherheitslücke
|
|
10. IBM WebSphere Application Server unspezifizierte Sicherheitslücke
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
