Vulnerabilidad de inyección XXE en WebSphere Application Server

Fecha de publicación

22/11/2018

Importancia

4 - Alta

Recursos Afectados

IBM WebSphere Application Server versión 9.0

Descripción

Existe una vulnerabilidad de inyección XXE (XML External Entity) en el Knowledge Center que usa WebSphere Application Server.

Solución

Para WebSphere Application Server, versiones desde la 9.0.0.0 hasta la 9.0.0.9:

Actualizar a niveles mínimos según requiera el parche PH04192 y aplicarle.
Aplicar el parche 9.0.0.10 o posterior (disponibilidad prevista para el cuarto trimestre de 2018).

Detalle

IBM WebSphere Application Server es vulnerable a un ataque XML External Entity (XXE) al procesar datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. Se ha reservado el identificador CVE-2018-1905 para esta vulnerabilidad.

Listado de referencias

Security Bulletin: Potential XML External Entity (XXE) Injection Vulnerability in WebSphere Application Server (CVE-2018-1905)

Etiquetas