CH azonosító
CH-8746Angol cím
IBM Sterling Order Management Cross-Site Scripting and XPath Injection VulnerabilitiesFelfedezés dátuma
2013.03.18.Súlyosság
AlacsonyÉrintett rendszerek
IBMSterling Order Management
Érintett verziók
IBM Sterling Order Management 8.x, 9.x
Összefoglaló
Az IBM Sterling Order Management két sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók módosíthatnak bizonyos adatokat, illetve a támadók cross-site scripting (XSS/CSS) támadásokat indíthatnak.
Leírás
- Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt XPath lekérdezésekben felhasználásra kerülnének. Ezt kihasználva tetszőleges XML fájlt meg lehet szerezni.
- Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységeket a 9.2.0, 9.1.0, 9.0, 8.5 és 8.0 verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
CVE-2013-0505 - NVD CVE-2013-0505
CVE-2013-0506 - NVD CVE-2013-0506
SECUNIA 52706