IBM Maximo Asset Management termékek sérülékenységei


2012. szeptember 6. 11:23

CH azonosító

CH-7526

Angol cím

IBM Maximo Asset Management Products Multiple Vulnerabilities

Felfedezés dátuma

2012.09.05.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Maximo Asset Management
Maximo Asset Management Essentials
SmartCloud Control Desk
Tivoli Asset Management for IT
Tivoli Change and Configuration Management Database
Tivoli Service Request Manager

Érintett verziók

IBM Maximo Asset Management 6.x, 7.x
IBM Maximo Asset Management Essentials 6.x, 7.x
IBM SmartCloud Control Desk 7.x
IBM Tivoli Asset Management for IT 6.x, 7.x
IBM Tivoli Change and Configuration Management Database 6.x, 7.x
IBM Tivoli Service Request Manager 7.x

Összefoglaló

Az IBM Maximo Asset Management termékek több sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS), cross-site request forgery (XSRF/CSRF), session fixation és SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre, illetve bizalmas adatokat szerezhetnek.

Leírás

  1. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva nem részletezett műveleteket lehet végrehajtani, ha egy bejelentkezett felhasználó meglátogat egy káros tartalmú weboldalt.
  2. Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva az SQL lekérdezésben történő felhasználás előtt. Ezt kihasználva, módosítani lehet az SQL lekérdezést tetszőleges SQL kód befecskendezésével.
  3. Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  4. A munkamenetek kezelésében lévő hibát kihasználva el lehet téríteni egy másik felhasználó munkamenetét, ha az bejelentkezés előtt megnyit egy speciálisan elkészített hivatkozást.
  5. Egy nem részletezett hibát kihasználva bizalmas adatokat lehet szerezni. Jelenleg nem áll rendelkezésre több információ.

A sérülékenységeket az alábbi termékekben jelentették:

  • IBM Maximo Asset Management 7.5, 7.1 és 6.2 verziók
  • IBM Maximo Asset Management Essentials 7.5, 7.1 és 6.2 verziók
  • IBM SmartCloud Control Desk 7.5 verzió
  • IBM Tivoli Asset Management for IT 7.2, 7.1 és 6.2 verziók
  • IBM Tivoli Service Request Manager 7.2 és 7.1 verziók
  • IBM Maximo Service Desk 6.2 verzió
  • IBM Change and Configuration Management Database 7.2 és 7.1 verziók

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)
Unspecified (Nem részletezett)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.ibm.com
CVE-2012-0714 - NVD CVE-2012-0714
CVE-2012-0727 - NVD CVE-2012-0727
CVE-2012-0728 - NVD CVE-2012-0728
CVE-2012-0746 - NVD CVE-2012-0746
CVE-2012-0747 - NVD CVE-2012-0747
CVE-2012-2183 - NVD CVE-2012-2183
CVE-2012-2184 - NVD CVE-2012-2184
CVE-2012-2185 - NVD CVE-2012-2185
CVE-2012-3313 - NVD CVE-2012-3313
CVE-2012-3326 - NVD CVE-2012-3326
SECUNIA 50551

Legfrissebb sérülékenységek
CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége
CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége
CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége
CVE-2024-6385 – GitLab CE/EE sérülékenysége
CVE-2024-22280 – VMware Aria Automation sérülékenysége
CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége
CVE-2024-6235 – NetScaler Console sérülékenysége
CVE-2024-38080 – Windows Hyper-V sérülékenysége
CVE-2024-38112 – Windows MSHTML Platform sérülékenysége
CVE-2024-3596 – RADIUS Protocol RFC 2865 prefix collision sérülékenysége
Tovább a sérülékenységekhez »