IBM InfoSphere sérülékenységek

CH azonosító

CH-13828

Angol cím

IBM InfoSphere vulnerabilities

Felfedezés dátuma

2017.01.09.

Súlyosság

Közepes

Érintett rendszerek

IBM
InfoSphere DataStage
InfoSphere Information Server

Érintett verziók

IBM InfoSphere 8.7, 9.1, 11.3, 11.5

Összefoglaló

Az IBM InfoSphere Information Server és IBM InfoSphere DataStage közepes kockázati besorolású sérülékenységei váltak ismertté, amelyeket kihasználva cross-site scripting támadás (CSS) indítható. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

Az IBM InfoSphere Information Server nem ellenőrzi helyesen a CSS kódot. A támadó úgy tudja kihasználni a sérülékenységet, hogy ‘qirks’ módban fordítja le az oldalt a tetszőleges CSS kóddal, ami tartalmazhat káros script kódot is. A célpont böngészőjében a káros kód az IBM InfoSphere Information Server jogosultságaival megegyezően fut le, amivel a támadó megszerezheti a célpont sütijeit (a belépésre jogosítókat is), majd a célpont nevében tevékenykedhet.

Az IBM InfoSphere DataStage nem ellenőrzi helyesen a beküldött HTML kódot, mielőtt megjeleníti azt. A távoli támadó a sérülékenységet kihasználva káros script kódot futtathat a célpont böngészőjében. A káros kód az IBM InfoSphere DataStage jogosultságaival megegyezően fut le, amivel a támadó megszerezheti a célpont sütijeit (a belépésre jogosítókat is), majd a célpont nevében tevékenykedhet.

Megoldás

Telepítse a javítócsomagokat: APAR JR56946, APAR JR56951


Legfrissebb sérülékenységek
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2023-1256 – aveva / telemetry server, aveva / aveva plant scada sérülékenysége
CVE-2023-28100 – Flatpak sérülékenysége
CVE-2022-38063 – social login wp project / social login wp sérülékenysége
CVE-2023-25280 – dlink / dir820la1 firmware sérülékenysége
Tovább a sérülékenységekhez »