Érintett rendszerek
BlackBerry Enterprise Server for DominoBlackBerry Enterprise Server for Exchange
BlackBerry Enterprise Server for Novell GroupWise
Research In Motion (RIM)
Érintett verziók
Research In Motion (RIM) BlackBerry Enterprise Server for Novell GroupWise 4.x
Research In Motion (RIM) BlackBerry Enterprise Server for Exchange 4.x
Research In Motion (RIM) BlackBerry Enterprise Server for Domino 4.x
Összefoglaló
Egy sérülékenységet jelentettek a BlackBerry Enterprise Server-ben, amelyet rosszindulatú támadók kihasználhatnak cross-site scripting támadások lefolytatásához.
Leírás
Egy sérülékenységet jelentettek a BlackBerry Enterprise Server-ben, amelyet rosszindulatú támadók kihasználhatnak cross-site scripting támadások lefolytatásához.
Az MDS Connection Service-ben lévő „/admin/statistics/ConfigureStatistics” szkriptnek több paraméteren átadott bevitel nincs megfelelően megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységet a 4.1.6 MR5 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: archives.neohapsis.com
Gyártói referencia: www.blackberry.com
SECUNIA 34740
CVE-2009-0307 - NVD CVE-2009-0307