EMC Documentum termékek sérülékenységei

CH azonosító

CH-9164

Angol cím

EMC Documentum Products Session Fixation and Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2013.05.09.

Súlyosság

Alacsony

Érintett rendszerek

Documentum Records Management
Documentum Taskspace
Documentum WDK
Documentum Webtop
EMC

Érintett verziók

EMC Documentum Records Management 6.x
EMC Documentum Taskspace 6.x
EMC Documentum WDK 6.x
EMC Documentum Webtop 6.x

Összefoglaló

Az EMC Documentum termékek több sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS) és session fixation támadásokat tudnak végrehajtani.

Leírás

  1. A munkamenetek (session) kezelésében lévő hibát kihasználva hozzá lehet férni egy másik felhasználó munkamenetéhez, ha az bejelentkezés előtt megnyit egy speciálisan összeállított hivatkozást.
  2. Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységeket az alábbi termékekben és verziókban jelentették:

  • EMC Documentum Webtop 6.7 SP2 előtti verziók
  • EMC Documentum WDK 6.7 SP2 előtti verziók
  • EMC Documentum Taskspace 6.7 SP2 előtti verziók
  • EMC Documentum Records Manager 6.7 SP2 előtti verziók

Megoldás

Frissítsen a legújabb verzióra