IBM Cognos Business Intelligence sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

IBM Cognos Business Intelligence 10.x

Összefoglaló

Az IBM Cognos Business Intelligence több sérülékenységét jelentették, amelyeket kihasználva a rosszindulatú felhasználók bizalmas információkat fedhetnek fel, a támadók pedig bizalmas információkat fedhetnek fel, cross-site scripting támadásokat hajthatnak végre, manipulálhatnak bizonyos adatokat és szolgáltatás megtagadást idézhetnek elő.

Leírás

További információ az alábbi hivatkozáson található:

CERT-HUngary CH-9874 (#23 és #30)

SA56116

1. Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
2. Az XML entitások elemzésekor jelentkező hiba kihasználható tetszőleges helyi fájlok tartalmának felfedésére egy speciálisan formázott, külső entitásra hivatkozó XML fájl segítségével.
3. Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.

A sérülékenységeket a 10.1, 10.1.1, 10.2, 10.2.1 és 10.2.1.1 verziókban jelentették.

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
CVE-2013-5802 - NVD CVE-2013-5802
CVE-2013-5825 - NVD CVE-2013-5825
CVE-2013-6732 - NVD CVE-2013-6732
CVE-2013-6954 - NVD CVE-2013-6954
CVE-2014-0854 - NVD CVE-2014-0854
CVE-2014-0861 - NVD CVE-2014-0861
SECUNIA 56948