Se
han anunciado seis vulnerabilidades en
IBM WebSphere Portal que podrían permitir a un atacante remoto construir
ataques de cross-site scripting, cross-site request forgery, denegación de
servicio, revelación de información e incluso ejecutar código arbitrario en los
sistemas afectados.
IBM WebSphere Portal ofrece una
aplicación compuesta o infraestructura de "mashup" empresarial y las
herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a
Servicios). WebSphere Portal contiene una amplia variedad de tecnologías
destinadas a desarrollar y mantener portales B2C, B2B y B2E.
Una vulnerabilidad, con
CVE-2014-4814, que podría permitir
a un atacante provocar una
denegación de
servicio si un usuario abre un archivo XML específicamente manipulado. Afecta
a WebSphere
Portal 8.5, 8.0, 7 y 6. Otra vulnerabilidad de la que IBM no ha ofrecido
detalles, con
CVE-2014-4808, puede considerarse
la vulnerabilidad más grave de todas ya que
permite la ejecución remota de código.
Afecta a WebSphere Portal 8.5, 8.0, 7 y 6.
Con
CVE-2014-4821 una vulnerabilidad
que podría
permitir a un atacante
identificar si un archivo existe o no en base a los códigos de error del
servidor.
Afecta a WebSphere
Portal 8.5, 8.0, 7 y 6. Una vulnerabilidad de
cross-site request forgery, con
CVE-2014-6125, y otra de
cross-site scripting, con
CVE-2014-6126, que afectan a WebSphere
Portal 8.5.
Por ultimo, con
CVE-2014-5191, una vulnerabilidad
de
cross-site scripting en el Preview
Plugin del CKEditor.
Afecta a WebSphere
Portal 8.5, 8.0.
IBM ha publicado diferentes correcciones
para evitar estos problemas. Dada la diversidad de versiones afectadas y
parches se recomienda consultar el aviso
Más información:
Security Bulletin: Fixes available for Security
Vulnerabilities in IBM WebSphere Portal (CVE-2014-4814; CVE-2014-4808;
CVE-2014-4821; CVE-2014-6125; CVE-2014-6126)
Security Bulletin: Fixes available for Security
Vulnerabilities in CKEditor that affect IBM WebSphere Portal (CVE-2014-5191)
Antonio Ropero
