Se ha informado de dos vulnerabilidades en IBM WebSphere Application Server, comunicadas a IBM por Lukasz Plonka (ingservicespolska.pl).
Las brechas de seguridad están basadas en XSS (cross-site scripting) y en CSRF (cross-site request forgery), que podrían ser utilizadas por un atacante remoto para la ejecución de comandos mediante la consola de administración o el acceso a información sensible.
Las versiones afectadas de WebSphere Application Server o WebSphere Application Server Hypervisor Edition son:
- Version 8.5
- Version 8
- Version 7
- Version 6.1
- Version 6.0.2
Para mitigar estas vulnerabilidades las recomendaciones son aplicar el Interim Fix, Fix Pack or PTF para cada uno de los productos afectados. En concreto para las versiones afectadas de IBM WebSphere Application Server:
- Para V8.5.0.0 hasta 8.5.5.3: aplicar Fix Pack 8.5.5.0 o posterior y después aplicar el Interim Fix PI23055 (o aplicar el Fix Pack 8.5.5.4 o posterior, con publicación prevista para el 8 de diciembre de 2014).
- Para V8.0.0.0 hasta 8.0.0.9: aplicar Fix Pack 8.0.0.6 o posterior y después aplicar el Interim Fix PI23055 (o aplicar el Fix Pack 8.0.0.10 o posterior, con publicación prevista para el 16 de febrero de 2015).
- Para V7.0.0.0 hasta 7.0.0.31: aplicar Fix Pack 7.0.0.27 o posterior y después aplicar el Interim Fix PI23055 (o aplicar Fix Pack 7.0.0.35 o posterior, con publicación prevista para el 13 de octubre de 2014).
- Para V6.1.0.0 hasta 6.1.0.47: aplicar Fix Pack 6.1.0.47 y entonces aplicar Interim Fix PI23055.