CH azonosító
CH-9398Angol cím
IBM Data Studio Web Console Two VulnerabilitiesFelfedezés dátuma
2013.06.11.Súlyosság
AlacsonyÖsszefoglaló
Az IBM Data Studio két olyan sérülékenységét jelentették, amelyeket kihasználva a rosszindulatú felhasználók bizalmas információkat szerezhetnek, és a támadók cross-site request forgery (XSRF/CSRF) támadásokat hajthatnak végre.
Leírás
- Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható a monitorozott adatbázisról történő bizalmas adatok megszerzésére, amennyiben egy bejelentkezett felhasználó meglátogat egy kártékony weboldalt.
- A Data Studio Web Console-lal kapcsolatos bizonyos nem részletezett bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt fájlok letöltéséhez felhasználásra kerülnének. Ez kihasználható tetszőleges fájlok tartalmának a kiszivárogtatásához könyvtár bejárásos támadással.
A sérülékenységeket a 3.1 és 3.1.1 verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
SECUNIA 53840
CVE-2013-2980 - NVD CVE-2013-2980
CVE-2013-2981 - NVD CVE-2013-2981