IBM Cognos TM1 Executive Viewer cross-site scripting sérülékenységek

CH azonosító

CH-6199

Angol cím

IBM Cognos TM1 Executive Viewer Two Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2012.01.08.

Súlyosság

Alacsony

Érintett rendszerek

Cognos TM1 Executive Viewer
IBM

Érintett verziók

IBM Cognos TM1 Executive Viewer 9.x

Összefoglaló

Az IBM Cognos TM1 Executive Viewer olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (XSS) támadások kezdeményezésére.

Leírás

  1. Az evserver/createcontrol.js-nek átadott nem részletezett bemenet nem kerül megfelelően ellenőrzésre, mielőtt visszakerül a felhasználóhoz. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.
  2. Az aspnet_client/-nek átadott nem részletezett bemenet nem kerül megfelelően ellenőrzésre, mielőtt visszakerül a felhasználóhoz. Ez kihasználható az érintett oldal felhasználói böngésző munkamenetében történő tetszőleges HTML és script kód futtatására.

A sérülékenységeket a 9.4. verzióban ismerték fel.

Megoldás

Frissítsen a legújabb verzióra