CH azonosító
CH-10804Angol cím
IBM Lotus Protector for Mail Security Cross-Site Scripting and Cross-Site Request Forgery VulnerabilitiesFelfedezés dátuma
2014.03.24.Súlyosság
AlacsonyÉrintett rendszerek
IBMLotus Protector for Mail Security
Érintett verziók
IBM Lotus Protector for Mail Security 2.x
Összefoglaló
Az IBM Lotus Protector for Mail Security sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting és request forgery támadásokat hajthatnak végre.
Leírás
- Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
- Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos műveleteket HTTP kéréseken keresztül hajtsanak végre a jogosultságok megfelelő ellenőrzése nélkül. Ez kihasználható bizonyos nem részletezett műveletek végrehajtására, amikor a bejelentkezett felhasználó meglátogat egy kártékony weboldalt.
A sérülékenységeket a 2.8.0.0 és 2.8.1.0 verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
CVE-2014-0884 - NVD CVE-2014-0884
CVE-2014-0885 - NVD CVE-2014-0885
CVE-2014-0886 - NVD CVE-2014-0886
CVE-2014-0887 - NVD CVE-2014-0887
SECUNIA 57520
