Az IBM Rational Requirements Composer gyengesége és többszörös sérülékenysége


2014. március 3. 11:32

CH azonosító

CH-10656

Angol cím

IBM Rational Requirements Composer Weakness and Multiple Vulnerabilities

Felfedezés dátuma

2014.03.02.

Súlyosság

Közepes

Érintett rendszerek

IBM
Rational Requirements Composer

Érintett verziók

IBM Rational Requirements Composer 2.x
IBM Rational Requirements Composer 3.x
IBM Rational Requirements Composer 4.x

Összefoglaló

Egy gyengeségét és többszörös sérülékenységét jelentették az IBM Rational Requirements Composer-nek.

Leírás

Egy gyengeségét és többszörös sérülékenységét jelentették az IBM Rational Requirements Composer-nek , amelyeket kihasználva a rosszindulatú felhasználók képesek hozzáférni bizonyos érzékeny információkhoz, valamint spoofing (hamisításos) és cross-site scripting támadásokat indíthatnak a sérülékeny rendszer ellen.

1) Egy nem részletezett hiba lehetővé teszi bizonyos alkalmazások és / vagy a rendszer adataihoz való hozzáférést.

2) Bizonyos (nem részletezett) bemenet nincs megfelelően ellenőrizve felhasználnás előtt, és képes átirányítani a felhasználókat egy tetszőleges weboldalra, pl. amikor a felhasználó rákattint egy speciálisan kialakított linkre.

3) Bizonyos (nem részletezett) bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjében, az érintett oldalon.

A gyengeség és sérülékenységeket a 3.0.1 a 3.0.1.6 iFix1 és 4.0 a 4.0.5 verziókban jelentették.

4. ) Egy meghatározatlan hiba van  a Jazz Team Server-nél.

A hibát a 2.x , 3.0.1 a 3.0.1.6 iFix1 , és 4.0 a 4.0.5 . verziókban jelentették

Megoldás:

Frissítésen egy javított verzióra, ha lehetséges.


Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítésen egy javított verzióra , ha lehetséges.

Támadás típusa

Cross Site Scripting (XSS/CSS)
Hijacking (Visszaélés)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 57195
SECUNIA 57201
CVE-2014-0844 - NVD CVE-2014-0844
CVE-2014-0845 - NVD CVE-2014-0845
CVE-2014-0846 - NVD CVE-2014-0846
CVE-2014-0862 - NVD CVE-2014-0862

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »