IBM WebSphere Application Server 8.5.0.0 < 8.5.5.24、9.0.0.0 < 9.0.5.16 の XSS (6986333)

medium Nessus プラグイン ID 174899

概要

リモートの Web アプリケーションサーバーは、クロスサイトスクリプティングの脆弱性の影響を受けます

説明

リモートホストで実行されている IBM WebSphere Application Server は、クロスサイトスクリプティングの脆弱性の影響を受けます。
IBM WebSphere Application Server 8.5 および 9.0 で、クロスサイトスクリプティングの脆弱性があります。この脆弱性により、ユーザーが Web UI に任意の JavaScript コードを埋め込み、意図されている機能を変更することで、信頼できるセッション内で資格情報を漏洩させる可能性があります。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

IBM WebSphere Application Server のバージョンを 8.5.5.24、9.0.5.16 以降にアップグレードするか、暫定修正 PH52785 を適用してください。

参考資料

https://www.ibm.com/support/pages/node/6986333

プラグインの詳細

深刻度: Medium

ID: 174899

ファイル名: websphere_6986333.nasl

バージョン: 1.6

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: Web Servers

公開日: 2023/4/27

更新日: 2024/3/13

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Medium

Base Score: 6.4

Temporal Score: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2023-24966

CVSS v3

リスクファクター: Medium

Base Score: 6.1

Temporal Score: 5.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:ibm:websphere_application_server

必要な KB アイテム: installed_sw/IBM WebSphere Application Server

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/4/26

脆弱性公開日: 2023/4/26

参照情報

CVE: CVE-2023-24966

IAVA: 2023-A-0227