IBM WebSphere Application Server 7.0 < Fix Pack 27 の複数の脆弱性
medium Nessus プラグイン ID 64097
Language:
概要
リモートアプリケーションサーバーは、複数の脆弱性の影響を受けることがあります。説明
Fix Pack 27 より前の IBM WebSphere Application Server 7.0 がリモートホストで実行されているようです。そのため、以下の脆弱性の影響を受ける可能性があります。- プロキシサーバーコンポーネントに関連するリクエスト検証エラーが存在することにより、リモートの攻撃者が、プロキシステータスを無効としてレポートさせて、プロキシへのアプリケーションのアクセスを拒否できることがあります。
(CVE-2012-3330、PM71319)
- ユーザー入力検証エラーが存在することにより、クロスサイトリクエストフォージェリ(CSRF)攻撃を実行できることがあります。(CVE-2012-4853、PM62920)
- 管理コンソールに関連する未特定のエラーが存在することにより、クロスサイトスクリプティング攻撃をできることがあります。
(CVE-2013-0458、CVE-2013-0459、CVE-2013-0460、PM71139、PM72536、PM72275)
- 管理コンソールの「Virtual Member Manager」(VMM)に関連する未特定のエラーが存在することにより、クロスサイトスクリプティングが可能になることがあります。
(CVE-2013-0461、PM71389)
ソリューション
WebSphere Application Server を使用している場合、Fix Pack 27(7.0.0.27)または以降を適用してください。WebSphere Application Server を使用せず、Tivoli Directory Server に付属している組み込み WebSphere Application Server を使用している場合は、詳細についてベンダーに問い合わせてください。現時点では、IBM はそのための Fix Pack 27 を公開していません。
参考資料
http://www.nessus.org/u?c8df3590
http://www.nessus.org/u?85335f50
プラグインの詳細
深刻度: Medium
ID: 64097
ファイル名: websphere_7_0_0_27.nasl
バージョン: 1.11
タイプ: remote
ファミリー: Web Servers
公開日: 2013/1/25
更新日: 2019/12/4
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2013-0460
脆弱性情報
CPE: cpe:/a:ibm:websphere_application_server
必要な KB アイテム: www/WebSphere
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/1/21
脆弱性公開日: 2012/10/26
参照情報
CVE: CVE-2012-3330, CVE-2012-4853, CVE-2013-0458, CVE-2013-0459, CVE-2013-0460, CVE-2013-0461