CH azonosító
CH-9053Angol cím
IBM Application Support Facility (ASF) Document Connect Two Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2013.04.25.Súlyosság
AlacsonyÉrintett rendszerek
Application Support Facility (ASF)IBM
Érintett verziók
IBM Application Support Facility (ASF) 3.x
Összefoglaló
Az IBM Application Support Facility két olyan sérülékenysége vált ismertté, amelyeket kihasználva a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.
Leírás
- Egyes a Document Connect for ASF web kliensnek átadott nem részletezett bemeneti adatok nincsenek megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- Egyes a Document Connect for ASF web kliensnek átadott nem részletezett bemeneti adatok nincsenek megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
A sérülékenységek az Application Support Facility (ASF) 3.4 verzió alatt futó Document Connect 1.0.0.1204 verziót érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
SECUNIA 53216
CVE-2013-0571 - NVD CVE-2013-0571
CVE-2013-0572 - NVD CVE-2013-0572