Risque
Injection de code indirecte à distance.
Systèmes affectés
IBM WebSphere 6.x et 7.x.
Résumé
Une vulnérabilité dans IBM WebSphere permet à un utilisateur malveillant de réaliser de l'injection de code indirecte.
Description
La variable scope, utilisée pour les recherches, n'est pas correctement vérifiée par IBM WebSphere. Ce défaut est exploitable par un utilisateur malveillant de réaliser de l'injection de code indirecte (XSS).
Solution
Les versions 7.0.0.1 et 6.1.5 d'IBM WebSphere corrigent le défaut.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg1PM36644 du 24 mai 2011 :
http://www-01.ibm.com/support/docview.wss?uid=swg1PM36644