Vigil@nce : WebSphere AS 6.1.0, multiples vulnérabilités
janvier 2010 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités de WebSphere AS peuvent être employées
pour attaquer le service.
Gravité : 2/4
Conséquences : accès/droits utilisateur, accès/droits client
Provenance : client internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 3
Date création : 19/01/2010
PRODUITS CONCERNÉS
– IBM WebSphere Application Server
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans WebSphere
Application Server.
Un attaquant peut employer la console d’administration pour
provoquer un Cross Site Scripting afin de faire exécuter du code
JavaScript sur la machine de l’administrateur (VIGILANCE-VUL-9201
(https://vigilance.fr/arbre/1/9201)). [grav:2/4 ; BID-37015,
BID-37355, CVE-2009-2747, PK92057]
Un attaquant peut provoquer un Cross Site Request Forgery dans la
console web d’administration. [grav:2/4 ; PK87176]
Un attaquant peut employer les méthodes de l’objet UserRegistry.
[grav:2/4 ; PK91414]
CARACTÉRISTIQUES
Références : BID-37015, BID-37355, CVE-2009-2747, PK87176,
PK91414, PK92057, swg27007951, VIGILANCE-VUL-9360
http://vigilance.fr/vulnerabilite/WebSphere-AS-6-1-0-multiples-vulnerabilites-9360