IBM WebSphere Portal 8.5.0 < 8.5.0 CF03 多数の脆弱性

medium Nessus プラグイン ID 78742

Language:

概要

リモート Windows ホストに、複数の脆弱性の影響を受ける Web ポータルソフトウェアがインストールされています。

説明

リモートホストにインストールされている IBM WebSphere Portal のバージョンは、複数の脆弱性の影響を受けます：

- Apache Cordova コンポーネントに複数の脆弱性が存在します。クロスアプリケーションスクリプティング、セキュリティバイパス、情報漏洩が含まれます。
（CVE-2014-3500、CVE-2014-3501、CVE-2014-3502）

- 情報漏洩の欠陥が存在し、認証されているリモートの攻撃者が、HTML ソースコードを読み取ることにより、認証情報を入手する可能性があります。（CVE-2014-4761）

特定されていない脆弱性があり、これにより認証された攻撃者は、システム上で任意のコードを実行できます。（CVE-2014-4808）

- エンティティ拡張中の不適切な再帰検出により、欠陥が存在します。ユーザーを騙して、特別に細工された XML ドキュメントを開かせた場合、攻撃者がシステムのクラッシュを引き起こし、サービス拒否を引き起こす可能性があります。（CVE-2014-4814）

- 情報漏洩の脆弱性があり、これによりリモートの攻撃者は、Web サーバーのエラーコードをもとにファイルの有無を識別できます。
（CVE-2014-4821）

- Preview プラグインの CKEditor に欠陥が存在します。これにより、クロスサイトスクリプティング攻撃が引き起こされる可能性があります。「plugins/preview/preview.html」がユーザー指定の入力をユーザーに返す前に適切に検証していないため、欠陥が存在します。これにより、攻撃者が、クッキーベースの認証情報を盗みだすために設計された、特別に細工されたリクエストを送信する可能性があります。（CVE-2014-5191）

- ユーザー指定の入力の不適切な検証のため、クロスサイトリクエスト偽造の脆弱性があります。ユーザーを騙して、悪意ある Web サイトにアクセスさせることができた場合、リモートの攻撃者が、クロスサイトスクリプティング攻撃、Web キャッシュポイゾニング、他の悪意あるアクティビティを実行する可能性があります。（CVE-2014-6125）

- ユーザー指定入力の不適切な検証のため、クロスサイトスクリプティングの脆弱性があります。リモートの攻撃者が、ホストサイトのコンテキストにおいて被害者の Web ブラウザでコードを実行する可能性があります。これにより、ユーザーのクッキーベースの認証情報がセキュリティ上、危険にさらされる可能性があります。（CVE-2014-6126）

- ユーザー入力の不適切な検証のため、特定されていないクロスサイトスクリプティングの脆弱性があります。
（CVE-2014-4762）