IBM Maximo Asset Management termékek sérülékenységei

CH azonosító

CH-7526

Angol cím

IBM Maximo Asset Management Products Multiple Vulnerabilities

Felfedezés dátuma

2012.09.05.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Maximo Asset Management
Maximo Asset Management Essentials
SmartCloud Control Desk
Tivoli Asset Management for IT
Tivoli Change and Configuration Management Database
Tivoli Service Request Manager

Érintett verziók

IBM Maximo Asset Management 6.x, 7.x
IBM Maximo Asset Management Essentials 6.x, 7.x
IBM SmartCloud Control Desk 7.x
IBM Tivoli Asset Management for IT 6.x, 7.x
IBM Tivoli Change and Configuration Management Database 6.x, 7.x
IBM Tivoli Service Request Manager 7.x

Összefoglaló

Az IBM Maximo Asset Management termékek több sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS), cross-site request forgery (XSRF/CSRF), session fixation és SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre, illetve bizalmas adatokat szerezhetnek.

Leírás

  1. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva nem részletezett műveleteket lehet végrehajtani, ha egy bejelentkezett felhasználó meglátogat egy káros tartalmú weboldalt.
  2. Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva az SQL lekérdezésben történő felhasználás előtt. Ezt kihasználva, módosítani lehet az SQL lekérdezést tetszőleges SQL kód befecskendezésével.
  3. Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  4. A munkamenetek kezelésében lévő hibát kihasználva el lehet téríteni egy másik felhasználó munkamenetét, ha az bejelentkezés előtt megnyit egy speciálisan elkészített hivatkozást.
  5. Egy nem részletezett hibát kihasználva bizalmas adatokat lehet szerezni. Jelenleg nem áll rendelkezésre több információ.

A sérülékenységeket az alábbi termékekben jelentették:

  • IBM Maximo Asset Management 7.5, 7.1 és 6.2 verziók
  • IBM Maximo Asset Management Essentials 7.5, 7.1 és 6.2 verziók
  • IBM SmartCloud Control Desk 7.5 verzió
  • IBM Tivoli Asset Management for IT 7.2, 7.1 és 6.2 verziók
  • IBM Tivoli Service Request Manager 7.2 és 7.1 verziók
  • IBM Maximo Service Desk 6.2 verzió
  • IBM Change and Configuration Management Database 7.2 és 7.1 verziók

Megoldás

Telepítse a javítócsomagokat