Vulnerabilidad de inyección XXE en WebSphere Application Server

Fecha de publicación 22/11/2018
Importancia
4 - Alta
Recursos Afectados
  • IBM WebSphere Application Server versión 9.0
Descripción

Existe una vulnerabilidad de inyección XXE (XML External Entity) en el Knowledge Center que usa WebSphere Application Server.

Solución

Para WebSphere Application Server, versiones desde la 9.0.0.0 hasta la 9.0.0.9:

  • Actualizar a niveles mínimos según requiera el parche PH04192 y aplicarle.
  • Aplicar el parche 9.0.0.10 o posterior (disponibilidad prevista para el cuarto trimestre de 2018).
Detalle

IBM WebSphere Application Server es vulnerable a un ataque XML External Entity (XXE) al procesar datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. Se ha reservado el identificador CVE-2018-1905 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Security Bulletin: Potential XML External Entity (XXE) Injection Vulnerability in WebSphere Application Server (CVE-2018-1905)
Etiquetas