CH azonosító
CH-8094Angol cím
IBM Lotus Foundations Start Script Insertion and PHP Command Injection VulnerabilitiesFelfedezés dátuma
2012.12.12.Súlyosság
KözepesÖsszefoglaló
Az IBM Lotus Foundations Start olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat tudnak végrehajtani, illetve a támadók bizalmas információkat szerezhetnek és feltörhetik a sérülékeny rendszert.
Leírás
- A Webconfig részére a „Users” oldallal átadott bemeneti adat a nincs megfelelően megtisztítva a felhasználás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan a kártékony adatok megjelenítésekor.
- Az alkalmazásba ágyazott PHP verzió egy sérülékenységét jelentették, amelyről további információ az alábbi publikáció 1. pontjában található:
CERT-Hungary CH-6797
A sérülékenységek az 1.2.2c előtti verziókban találhatók.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
SECUNIA 51572
CERT-Hungary CH-6797
CVE-2012-1823 - NVD CVE-2012-1823
CVE-2012-4848 - NVD CVE-2012-4848
