IBM System Storage Products Storage Manager sérülékenységek

CH azonosító

CH-7074

Angol cím

IBM System Storage Products Storage Manager Cross-Site Scripting and SQL Injection Vulnerabilities

Felfedezés dátuma

2012.06.20.

Súlyosság

Alacsony

Érintett rendszerek

DS4700 0.x
IBM
System Storage
TotalStorage

Érintett verziók

IBM System Storage DCS3700, DS3200, DS3300, DS3400, DS3512, DS3950, DS4200, DS4300, DS4500, DS4800, DS5020, DS5100, DS5300
IBM TotalStorage DS4100 (formerly FAStT100)
IBM TotalStorage DS4400 Midrange Disk System
IBM DS4700 0.x

Összefoglaló

Az IBM System Storage termékek két olyan sérülékenységét jelentették, amelyeket a támadók kihasználva cross-site scripting (XSS/CSS) és SQL  befecskendezéses (SQL Injection) támadásokat hajthatnak végre.

Leírás

  1. Az “updateRegn” paraméter által a SoftwareRegistration.do részéreátadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
  2. A “selectedModuleOnly” paraméter által a ModuleServlet.do részére átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt SQL lekérdezésekben felhasználásra kerülnének. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kódok befecskendezésével.

A sérülékenységeket az IBM System Storage DS Storage Manager 10.83.xx.18 előtti verziókban jelentették.

Az érintett rendszerek teljes listájáért olvassa el a gyártó bejelentését!

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »