Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de IBM
WebSphere AS 8.5.

Produits concernés : WebSphere AS

Gravité : 2/4

Date création : 08/12/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans IBM WebSphere
AS 8.5.

Un attaquant peut utiliser un clickjacking sur la console, afin de
forcer l’administrateur à effectuer une opération. [grav:2/4 ;
CVE-2014-6174, PI27152]

Un attaquant peut provoquer un Cross Site Request Forgery dans
Administrative Console, afin de forcer la victime à effectuer des
opérations (VIGILANCE-VUL-15387). [grav:2/4 ; CVE-2014-4770,
CVE-2014-4816, PI23055]

Un attaquant peut usurper un cookie OpenID, afin d’élever ses
privilèges. [grav:2/4 ; CVE-2014-6164, PI23430]

Un attaquant peut provoquer un Cross Site Scripting dans URL
Rewriting, afin d’exécuter du code JavaScript dans le contexte du
site web. [grav:2/4 ; CVE-2014-6167, PI23819]

Un attaquant peut utiliser CEA (Communications Enabled
Applications) Service, afin d’obtenir des informations sensibles.
[grav:2/4 ; CVE-2014-6166, PI25310]

Un attaquant peut obtenir des informations HTTP sensibles.
[grav:2/4 ; CVE-2014-3021, PI08268]

Un attaquant peut utiliser ServletSecurity Annotations, afin
d’élever ses privilèges. [grav:2/4 ; CVE-2014-8890, PI29911]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/IBM-WebSphere-AS-8-5-multiples-vulnerabilites-15753