Найдена уязвимость в IBM WebSphere. Уязвимость позволяет атакующему вводить команды JavaScript "извне" WebSphere web server'а. Что позволяет посылать информацию жертвам с "левых" серверов, но при этом она будет выглядеть как инфа, полученная с легитимного сервера.

Системы уязвимы:
IBM HTTP Server version 1.3.6.2 under Apache version 1.3.7-dev (Unix)
IBM HTTP Server version 1.3.6.3 under Apache version 1.3.7-dev (Win32)

Пример:
http://websphere.example.com/

Возвращает должным образом "parsed output". Однако, попытка обратиться извне webroot'а,
заканчивается некоторыми проблемами с CSS:

http://websphere.example.com/../

Оставить мнение