CH azonosító
CH-9083Angol cím
IBM Tivoli Federated Identity Manager Products FIM SAML Response Cross-Site Scripting VulnerabilityFelfedezés dátuma
2013.04.30.Súlyosság
AlacsonyÉrintett rendszerek
IBMTivoli Federated Identity Manager
Tivoli Federated Identity Manager Business Gateway
Érintett verziók
IBM Tivoli Federated Identity Manager 6.x
IBM Tivoli Federated Identity Manager Business Gateway 6.x
Összefoglaló
Az IBM Tivoli Federated Identity Manager és IBM Tivoli Federated Identity Manager Business Gateway olyan sérülékenységét jelentették, amelyet a támadók kihasználva cross-site scripting (XSS/CSS) támadásokat indíthatnak.
Leírás
Bizonyos válaszra adatott bemeneti adatok a FIM SAML 2.0 protokollon belül nincsenek megfelelően ellenőrizve, mielőtt visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységet a következő termékekben és verziókban jelentették:
- Tivoli Federated Identity Manager 6.2.0, 6.2.1 és 6.2.2 verziók.
- Tivoli Federated Identity Manager Business Gateway 6.2.0 és 6.2.1 verziók.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 53285
CVE-2013-0582 - NVD CVE-2013-0582
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com