๐ IBM WebSphere Application Server bis 8.5.5.8 OPenID Connect OIDC Client Cross Site Scripting
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 81395
Betroffen: IBM WebSphere Application Server bis 8.5.5.8
Veröffentlicht: 19.03.2016
Risiko: problematisch
Erstellt: 20.03.2016
Eintrag: 66.2% komplett
Beschreibung
Eine Schwachstelle wurde in IBM WebSphere Application Server bis 8.5.5.8 ausgemacht. Sie wurde als problematisch eingestuft. Davon betroffen ist eine unbekannte Funktion der Komponente OPenID Connect OIDC Client. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität. Die Zusammenfassung von CVE lautet:
Cross-site scripting (XSS) vulnerability in the OpenID Connect (OIDC) client web application in IBM WebSphere Application Server (WAS) Liberty Profile 8.5.5 before 8.5.5.9 allows remote attackers to inject arbitrary web script or HTML via a crafted URL.
Die Schwachstelle wurde am 19.03.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-0283 gehandelt. Die Ausnutzbarkeit ist als leicht bekannt. Umgesetzt werden kann der Angriff über das Netzwerk. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren auf die Version 8.5.5.9 vermag dieses Problem zu lösen.CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:ibm:websphere_application_server:8.5.5.0
- cpe:/a:ibm:websphere_application_server:8.5.5.1
- cpe:/a:ibm:websphere_application_server:8.5.5.2
- cpe:/a:ibm:websphere_application_server:8.5.5.3
- cpe:/a:ibm:websphere_application_server:8.5.5.4
- cpe:/a:ibm:websphere_application_server:8.5.5.5
- cpe:/a:ibm:websphere_application_server:8.5.5.6
- cpe:/a:ibm:websphere_application_server:8.5.5.7
- cpe:/a:ibm:websphere_application_server:8.5.5.8
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $10k-$25k (0-day) / $2k-$5k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: WebSphere Application Server 8.5.5.9
Timeline
19.03.2016 | Advisory veröffentlicht
20.03.2016 | VulDB Eintrag erstellt
20.03.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-0283 (mitre.org) (nvd.nist.org) (cvedetails.com)
...