IBM Cognos TM1 Executive Viewer cross-site scripting sérülékenységek


2012. január 9. 13:23

CH azonosító

CH-6199

Angol cím

IBM Cognos TM1 Executive Viewer Two Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2012.01.08.

Súlyosság

Alacsony

Érintett rendszerek

Cognos TM1 Executive Viewer
IBM

Érintett verziók

IBM Cognos TM1 Executive Viewer 9.x

Összefoglaló

Az IBM Cognos TM1 Executive Viewer olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (XSS) támadások kezdeményezésére.

Leírás

  1. Az evserver/createcontrol.js-nek átadott nem részletezett bemenet nem kerül megfelelően ellenőrzésre, mielőtt visszakerül a felhasználóhoz. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.
  2. Az aspnet_client/-nek átadott nem részletezett bemenet nem kerül megfelelően ellenőrzésre, mielőtt visszakerül a felhasználóhoz. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.

A sérülékenységeket a 9.4. verzióban ismerték fel.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.ibm.com
SECUNIA 47487

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-31489 – MinIO sérülékenysége
CVE-2025-31161 – CrushFTP Authentication Bypass sebezhetősége
CVE-2025-2704 – OpenVPN sebezhetősége
CVE-2025-22457 – Ivanti Connect Secure, Policy Secure and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2025-30401 – WhatsApp for Windows sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
Tovább a sérülékenységekhez »