Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de inyección XXE en WebSphere Application Server

Vulnerabilidad de inyección XXE en WebSphere Application Server

Fecha de publicación: 
22/11/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • IBM WebSphere Application Server versión 9.0
Descripción: 

Existe una vulnerabilidad de inyección XXE (XML External Entity) en el Knowledge Center que usa WebSphere Application Server.

Solución: 

Para WebSphere Application Server, versiones desde la 9.0.0.0 hasta la 9.0.0.9:

  • Actualizar a niveles mínimos según requiera el parche PH04192 y aplicarle.
  • Aplicar el parche 9.0.0.10 o posterior (disponibilidad prevista para el cuarto trimestre de 2018).
Detalle: 

IBM WebSphere Application Server es vulnerable a un ataque XML External Entity (XXE) al procesar datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. Se ha reservado el identificador CVE-2018-1905 para esta vulnerabilidad.

Encuesta valoración