Avis du CERT-FR

Objet: Vulnérabilité dans IBM WebSphere

Gestion du document

Référence	CERTA-2009-AVI-501
Titre	Vulnérabilité dans IBM WebSphere
Date de la première version	16 novembre 2009
Date de la dernière version	16 novembre 2009
Source(s)	Bulletin de sécurité IBM swg27014463 du 13 novembre 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte.

Systèmes affectés

IBM WebSphere 7.0.x.

Résumé

Une vulnérabilité dans IBM WebSphere ext exploitable par un utilisateur malveillant pour réaliser de l'injection de code indirecte.

Description

Le filtrage des données entrées dans la console d'administration d'IBM WebSphere est imparfait. Cette vulnérabilité peut être utilisée pour réaliser de l'injection de code indirecte.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin IBM PK99481 du 10 novembre 2009 :

http://www-01.ibm.com/support/docview.wss?uid=swg1PK99481

Référence CVE CVE-2009-2747 :

https://www.cve.org/CVERecord?id=CVE-2009-2747

Gestion détaillée du document

le 16 novembre 2009: version initiale.