1 IBM WebSphere Portal WEB内容管理程序信息泄露漏洞
IBM WebSphere Portal WEB内容管理程序信息泄露漏洞 | |
|---|---|
发布时间: | 2013-12-25 |
漏洞编号: | BUGTRAQ ID:64492CVE ID: CVE-2013-6316 |
漏洞描述: | IBM WebSphere Portal提供了一个组合应用程序或业务mashup框架,并且提供了一种高级工具来构造灵活的,基于SOA的解决方案。 IBM WebSphere Portal WEB内容管理器在渲染taxonomy组件时未能正确处理内容选择更改,允许远程攻击者利用漏洞使Web Content Manager (WCM)上下文处理器触发错误,获取敏感信息。 |
安全建议: | 用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www-01.ibm.com/support/docview.wss?uid=swg24034497 http://www.ibm.com/support/docview.wss?uid=swg24029452 |
2 IBM WebSphere Portal ContentTemplate Catalog远程代码执行漏洞
IBM WebSphere Portal Content Template Catalog远程代码执行漏洞 | |
|---|---|
发布时间: | 2013-12-25 |
漏洞号: | BUGTRAQ ID: 64498 CVE ID: CVE-2013-4012 |
漏洞描述: | IBM WebSphere Portal是一个框架——包括运行时服务器、服务、工具和许多其他特性——您可以使用这些特性将企业集成到单个称为门户的可自定义界面中。 IBM WebSphere Portal 8.0、8.0.0.1版本使用了Content Template Catalog 4.0后,安装PAA文件时不要求管理员权限,这可使经过身份验证的远程用户修改数据或造成拒绝服务。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.ibm.com/support/fixcentral/ IBM (PM96345, PI04897, PI05684, PM93172): http://www.ibm.com/support/docview.wss?uid=swg21660011 http://www.ibm.com/support/docview.wss?uid=swg24034497 |
3 IBM WebSphere Portal WCM跨站脚本漏洞
IBM WebSphere Portal WCM跨站脚本漏洞 | |
|---|---|
发布时间: | 2013-12-25 |
漏洞号: | BUGTRAQ ID:64495CNVD ID: CVE-2013-6328 |
漏洞描述: | IBM WebSphere Portal提供了一个组合应用程序或业务mashup框架,并且提供了一种高级工具来构造灵活的,基于SOA的解决方案。 IBM WebSphere Portal WEB内容管理器UI存在安全漏洞,允许远程攻击者利用漏洞通过IFFRAME元素注入恶意脚本或HTML代码,当恶意数据被查看时可获取敏感信息或者劫持用户会话。 |
安全建议: | 用户可参考如下厂商提供的安全补丁以修复该漏洞: http://www-01.ibm.com/support/docview.wss?uid=swg24034497 http://www.ibm.com/support/docview.wss?uid=swg24029452 http://www-01.ibm.com/support/docview.wss?uid=swg24023835 http://www-01.ibm.com/support/docview.wss?uid=swg24023835 |
4 IBM Lotus iNotes存在未明跨站脚本漏洞
IBM Lotus iNotes存在未明跨站脚本漏洞 | |
|---|---|
发布时间: | 2013-12-20 |
漏洞号: | BUGTRAQ ID: 64444 CVE ID: CVE-2013-4065 |
漏洞描述: | IBM iNotes是一个可靠且高度安全的Web解决方案,许多不同类型的用户(在线用户和离线用户)可以使用它来有效地管理关键业务信息和协作。 IBM iNotes存在一个未明跨站脚本漏洞,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时可获取敏感信息或者劫持用户会话。 |
安全建议: | IBM Lotus iNotes 8.5.3 Fix Pack 6或9.0.1已经修复该漏洞,建议用户下载更新:http://www.ibm.com/support/docview.wss?uid=swg24032242 http://www.ibm.com/support/docview.wss?uid=swg24035441 |
5 Revive Adserver 'what'参数SQL注入漏洞
Revive Adserver 'what'参数SQL注入漏洞 | |
|---|---|
发布时间: | 2013-12-24 |
漏洞号: | BUGTRAQ ID: 64463 CVE ID: CVE-2013-7149 |
漏洞描述: | Revive Adserver是开源的广告服务器。 Revive Adserver 3.0.1及其他版本的XML-RPC交付调用脚本没有正确转义输入参数,可使远程攻击者通过交付XML-RPC方法的"what"参数,利用此漏洞注入任意SQL代码。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.revive-adserver.com/ http://www.revive-adserver.com/security/REVIVE-SA-2013-001 |
=========================================
