Найдена уязвимость в IBM WebSphere. Уязвимость позволяет атакующему вводить команды JavaScript «извне» WebSphere web server’а. Что позволяет посылать информацию жертвам с «левых» серверов, но при этом она будет выглядеть как инфа, полученная с легитимного сервера.

Системы уязвимы:
IBM HTTP Server version 1.3.6.2 under Apache version 1.3.7-dev (Unix)
IBM HTTP Server version 1.3.6.3 under Apache version 1.3.7-dev (Win32)

Пример:
http://websphere.example.com/

Возвращает должным образом «parsed output». Однако, попытка обратиться извне webroot’а,
заканчивается некоторыми проблемами с CSS:

http://websphere.example.com/../



Оставить мнение