CH azonosító
CH-9164Angol cím
EMC Documentum Products Session Fixation and Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2013.05.09.Súlyosság
AlacsonyÉrintett rendszerek
Documentum Records ManagementDocumentum Taskspace
Documentum WDK
Documentum Webtop
EMC
Érintett verziók
EMC Documentum Records Management 6.x
EMC Documentum Taskspace 6.x
EMC Documentum WDK 6.x
EMC Documentum Webtop 6.x
Összefoglaló
Az EMC Documentum termékek több sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS) és session fixation támadásokat tudnak végrehajtani.
Leírás
- A munkamenetek (session) kezelésében lévő hibát kihasználva hozzá lehet férni egy másik felhasználó munkamenetéhez, ha az bejelentkezés előtt megnyit egy speciálisan összeállított hivatkozást.
- Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységeket az alábbi termékekben és verziókban jelentették:
- EMC Documentum Webtop 6.7 SP2 előtti verziók
- EMC Documentum WDK 6.7 SP2 előtti verziók
- EMC Documentum Taskspace 6.7 SP2 előtti verziók
- EMC Documentum Records Manager 6.7 SP2 előtti verziók
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 53377
CVE-2013-0937 - NVD CVE-2013-0937
CVE-2013-0938 - NVD CVE-2013-0938
CVE-2013-0939 - NVD CVE-2013-0939
Egyéb referencia: archives.neohapsis.com