阿里云漏洞库

漏洞描述

使用OAuth ear的IBM WebSphere Application Server 7.0、8.0、8.5和9.0很容易受到跨站点脚本攻击。此漏洞允许用户在Web UI中嵌入任意JavaScript代码，从而改变预期的功能，可能导致可信会话中的凭据泄露。IBM X-Force ID: 148949。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.securitytracker.com/id/1041802
https://exchange.xforce.ibmcloud.com/vulnerabilities/148949
https://www.ibm.com/support/docview.wss?uid=ibm10729571

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	websphere_application_server	*	From (including) 7.0.0.0	Up to (including) 7.0.0.45
	运行在以下环境
	应用	ibm	websphere_application_server	*	From (including) 8.0.0.0	Up to (including) 8.0.0.15
	运行在以下环境
	应用	ibm	websphere_application_server	*	From (including) 8.5.0.0	Up to (including) 8.5.5.14
	运行在以下环境
	应用	ibm	websphere_application_server	*	From (including) 9.0.0.0	Up to (including) 9.0.0.9
	运行在以下环境
	系统	debian_8	gnulib	*		Up to (excluding) 20140202+stable-2+deb8u1
	运行在以下环境
	系统	debian_9	gnulib	*		Up to (excluding) 20140202+stable-2+deb9u1
	运行在以下环境
	系统	fedora_29	gnulib	*		Up to (excluding) 8.30-5.fc29
	运行在以下环境
	系统	fedora_30	gnulib	*		Up to (excluding) 0-31.20200107git.fc30
	运行在以下环境
	系统	fedora_31	gnulib	*		Up to (excluding) 0-31.20200107git.fc31
	运行在以下环境
	系统	fedora_EPEL_7	gnulib	*		Up to (excluding) 0-31.20200107git.el7
	运行在以下环境
	系统	fedora_EPEL_8	gnulib	*		Up to (excluding) 0-31.20200107git.el8
	运行在以下环境
	系统	ubuntu_16.04.7_lts	gnulib	*		Up to (excluding) 20140202stable-2deb8u1build0.16.04.1
	运行在以下环境
	系统	ubuntu_16.04_lts	gnulib	*		Up to (excluding) 20140202stable-2deb8u1build0.16.04.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	gnulib	*		Up to (excluding) 20140202stable-2deb8u1build0.18.04.1
	运行在以下环境
	系统	ubuntu_18.04_lts	gnulib	*		Up to (excluding) 20140202stable-2deb8u1build0.18.04.1
	运行在以下环境
	系统	ubuntu_18.10	gnulib	*		Up to (excluding) 20140202+stable-3.1~build0.18.10.1

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

已更改
用户交互

需要
可用性

无
保密性

低
完整性

低

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

IBM WebSphere Application Server 7.0/8.0/8.5/9.0 Oauth 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况