BDU:2016-01699

Опубликовано: 08 июл. 2016

Источник: fstec

CVSS2: 6

EPSS Низкий

Описание

Уязвимость реализации программного интерфейса Discovery сервера приложений WebSphere Application Server связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии при помощи внешней ссылки в Swagger-документе

Вендор

IBM Corp.

Наименование ПО

WebSphere Application Server

Версия ПО

8.5.5.8 Liberty (WebSphere Application Server)

8.5.5.9 Liberty (WebSphere Application Server)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .

Microsoft Corp Windows -

Oracle Corp. Solaris .

IBM Corp. IBM i .

IBM Corp. AIX .

HP Inc. HP-UX .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)

Возможные меры по устранению уязвимости

Информация об устранении уязвимости доступна по адресу: http://www-01.ibm.com/support/docview.wss?uid=swg21984502

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 70%

0.00633

Низкий

6 Medium

CVSS2

Связанные уязвимости

CVE-2016-2945

CVSS3: 7.5

nvd

больше 9 лет назад

The API Discovery implementation in IBM WebSphere Application Server (WAS) 8.5.5.8 through 8.5.5.9 Liberty before Liberty Fix Pack 16.0.0.2 allows remote authenticated users to gain privileges via an external reference in a Swagger document.

GHSA-rx4f-g37q-fj8w