IBM WebSphere Application Server 8.5 < Fix Pack 1 多种漏洞

high Nessus 插件 ID 62975

语言：

简介

远程应用程序服务器可能受到多种漏洞影响。

描述

Fix Pack 1 之前的 IBM WebSphere Application Server 8.5 可能在远程主机上运行，因此可能受以下漏洞的影响：

- 存在与允许任意重定向响应 HTTP 请求的“Eclipse Help System”相关的输入验证错误。（CVE-2012-2159、PM66410）

- 存在与 SSL/TLS 有关的多个错误，可允许攻击者执行针对应用程序的拒绝服务攻击。（CVE-2012-2190、CVE-2012-2191、PM66218）
- 存在若干与管理控制台有关的跨站脚本问题。（CVE-2012-3293、PM60839）

- “ISC 控制台”中的不明错误可允许远程攻击者占用有效用户的会话。
（CVE-2012-3304、PM54356）

- 存在一个不明的目录遍历错误，可允许远程攻击者覆盖应用程序的部署目录以外的文件。（CVE-2012-3305、PM62467）

- 启用了多域支持时，应用程序没有从认证缓存中正确清除密码。（CVE-2012-3306、PM66514）

- 存在与“联合存储库”、“IIOP”连接、“CBIND”检查和“优化的本地适配器”有关的错误，可允许远程攻击者绕过安全限制。请注意，此问题仅影响 z/OS 上运行的应用程序。
（CVE-2012-3311、PM61388）

- PM44303 包含的修复中存在一个错误，可允许经身份验证的攻击者绕过安全限制并获得对应用程序的管理权限。（CVE-2012-3325、PM71296）

- 存在与代理服务器组件有关的请求验证错误，可允许远程攻击者造成代理状态被报告为“disabled”，从而拒绝应用程序对代理的访问。
（CVE-2012-3330、PM71319）

- 存在与“Liberty Profile”和“JAX-RS”有关的请求验证错误，可允许远程攻击者提升权限。（CVE-2012-4850、PM67082）

- 存在与“Liberty Profile”有关的用户提供的输入验证错误，可允许实施跨站脚本攻击。（CVE-2012-4851、PM68643）

- 存在用户提供的输入验证错误，可允许实施跨站请求伪造 (CSRF) 攻击。（CVE-2012-4853、PM62920）