CH azonosító
CH-12665Angol cím
IBM Business Process Manager vulnerabilitiesFelfedezés dátuma
2015.10.04.Súlyosság
KözepesÉrintett rendszerek
Business Process ManagerIBM
Érintett verziók
IBM Business Process Manager 8.5.6 előtti verziók
Összefoglaló
Az IBM Business Process Manager két sebezhetőséget tartalmaz. Ezek adatlopásra, illetve XSS-alapú támadásokra adhatnak lehetőséget.
Leírás
Az egyik biztonsági rés az XML-kezelést érinti. A gyártó tájékoztatása szerint speciálisan szerkesztett XML External Entity (XXE) fájlokkal válhat kihasználhatóvá, és jogosulatlan adathozzáférést eredményezhet.
A másik sebezhetőséget pedig egyes bemeneti paraméterek nem kellő szintű ellenőrzése okozza, ami tetszőleges HTML és script kódokkal történő visszaélésekre adhat lehetőséget.
Megoldás
Telepítse a javítócsomagokatMegoldás
Az IBM által kiadott patch-ek telepítése (8.5.6.0 Cumulative Fix 1; APAR JR53843, JR52696, JR54007).
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-304.ibm.com
Gyártói referencia: www-01.ibm.com
Egyéb referencia: isbk.hu
CVE-2013-5452 - NVD CVE-2013-5452