CH azonosító
CH-3669Angol cím
IBM FileNet Application Engine Redirection and Cross-Site ScriptingFelfedezés dátuma
2010.09.15.Súlyosság
AlacsonyÉrintett rendszerek
FileNet Application EngineFileNet P8 Platform
IBM
Érintett verziók
IBM FileNet Application Engine 3.x
FileNet P8 Platform
Összefoglaló
Az IBM FileNet Application Engine olyan sérülékenységeit és egy sebezhetőségét jelentették, amelyeket a támadók kihasználva cross-site scripting (CSS/XSS) és hamisításos támadásokat indíthatnak.
Leírás
- A sebezhetőséget a Workplace komponens teszi lehetővé, a felhasználók átirányításával, egy a támadó által megadott URL segítségével, hamis hitelesítési adatokkal. Ezt kihasználva például a felhasználókat át lehet irányítani egy megbízhatatlan, hamis oldalra.
- A Workplace komponens egy meghatározatlan bemeneti adata nincs megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységeket és a sebezhetőséget a 3.5.1-021-es előtti verziókban jelentették.
Megoldás
Frissítsen a P8AE 3.5.1-021 verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 41458
Gyártói referencia: download2.boulder.ibm.com