漏洞标题
N/A
漏洞描述信息
IBM WebSphere Application Server (WAS) 6.0.2 之前的 6.0.2.31 和 6.1 之前的 6.1.0.19 中,当证书存储集合配置为使用证书撤销列表 (CRL) 时,不会调用 PKIXBuilderParameters 对象的 setRevocationEnabled 方法,这防止了 "Java安全方法" 检查 X.509 证书的撤销状态,并允许远程攻击者通过具有撤销证书的 SOAP 消息绕过预期访问限制。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Web Services Security component in IBM WebSphere Application Server (WAS) 6.0.2 before 6.0.2.31 and 6.1 before 6.1.0.19, when Certificate Store Collections is configured to use Certificate Revocation Lists (CRL), does not call the setRevocationEnabled method on the PKIXBuilderParameters object, which prevents the "Java security method" from checking the revocation status of X.509 certificates and allows remote attackers to bypass intended access restrictions via a SOAP message with a revoked certificate.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
IBM WebSphere PKIXBuilderParameters对象安全绕过漏洞
漏洞描述信息
IBM Websphere应用服务器以Java和Servlet引擎为基础,支持多种HTTP服务,可帮助用户完成从开发、发布到维护交互式的动态网站的所有工作。 如果将Certificate Store Collections配置为使用证书撤销列表(CRL)的话,WebSphere应用服务器的Web Services Security组件就没有对PKIXBuilderParameters对象调用setRevocationEnabled方式,导致Java安全方式无法检查X.509证书的撤销状态。远程攻击者可以通
CVSS信息
N/A
漏洞类别
授权问题