Vulnérabilité dans IBM WebSphere

Date de publication : 27/08/2020

Une vulnérabilité a été découverte dans IBM WebSphere. Elle peut permettre à un attaquant de provoquer un contournement de la politique de sécurité.

CVE-2019-17566 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “server-side request forgery” a été découverte dans la bibliothèque Apache Batik utilisée par IBM WebSphere Application Server. Un attaquant peut exploiter cette vulnérabilité afin d’effectuer des requêtes GET arbitraires.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Contournement de la politique de sécurité

Criticité

Score CVSS v3 : 7.5

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

WebSphere Application Server versions 9.0.x antérieures à 9.0.5.4, sans le correctif de sécurité PH26761, ou 9.0.5.5 (disponible au troisième trimestre 2020)
WebSphere Application Server versions 8.5.x antérieures à 8.5.5.17, sans le correctif de sécurité PH26761, ou 8.5.5.18 (disponible au troisième trimestre 2020)
WebSphere Application Server versions 8.0.x antérieures à 8.0.0.15 sans le correctif de sécurité PH26761

CVE

CVE-2019-17566

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour WebSphere Application vers une version non vulnérable ou appliquer le correctif de sécurité PH26761

Solution de contournement

Aucune solution de contournement

Liens

Security Bulletin: Vulnerability in Apache Batik affects WebSphere Application …