Найдена уязвимость в IBM WebSphere. Уязвимость позволяет атакующему вводить команды JavaScript "извне" WebSphere web server'а. Что позволяет посылать информацию жертвам с "левых" серверов, но при этом она будет выглядеть как инфа, полученная с легитимного сервера.
Системы уязвимы:
IBM HTTP Server version 1.3.6.2 under Apache version 1.3.7-dev (Unix)
IBM HTTP Server version 1.3.6.3 under Apache version 1.3.7-dev (Win32)
Пример:
http://websphere.example.com/
Возвращает должным образом "parsed output". Однако, попытка обратиться извне webroot'а,
заканчивается некоторыми проблемами с CSS:
http://websphere.example.com/../
