IBM Infosphere Guardium sérülékenységek

CH azonosító

CH-7473

Angol cím

IBM Infosphere Guardium Cross-Site Request Forgery and Information Disclosure Vulnerabilities

Felfedezés dátuma

2012.08.28.

Súlyosság

Alacsony

Érintett rendszerek

IBM
InfoSphere Guardium

Érintett verziók

IBM InfoSphere Guardium 8.x

Összefoglaló

Az IBM Infosphere Guardium két sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók bizalmas információkat szerezhetnek, illetve támadók cross-site request forgery (XSRF/XSRF) támadásokat hajthatnak végre.

Leírás

  1. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva, létre lehet hozni egy adminisztrátor fiókot, ha egy bejelentkezett adminisztrátor meglátogat egy speciálisan elkészített weboldalt.
  2. Az alkalmazás egyszerű szövegként tárolja az adatbázis hozzáféréseket, amit kihasználva, meg lehet szerezni a fiók adatokat az adatforrás definíció szerkesztővel (datasource definition editor). A hiba sikeres kihasználásához szükséges, hogy a “save password” engedélyezve legyen.

A sérülékenységeket a 8.2 és korábbi kiadásokban jelentették.

Megoldás

Engedélyezze a CSRF szűrőt, és telepítse a javítócsomagot!


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »