CH azonosító
CH-7087Angol cím
IBM Rational Directory Server Help System Redirection Weakness and Cross-Site Scripting VulnerabilityFelfedezés dátuma
2012.06.21.Súlyosság
AlacsonyÖsszefoglaló
Az IBM Rational Directory Server olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva hamisításos (spoofing) és cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
- A “href” paraméter által átadott bemeneti adatok a /rds-help/advanced/deferredView.jsp részére nincsenek megfelelően ellenőrizve, mielőtt a felhasználók átirányításában felhasználásra kerülnének. Ez kihasználható a felhasználó egy tetszőleges weboldalra való átirányítására, például amikor a felhasználó egy speciálisan megszerkesztett hivatkozásra kattint, a webes alkalmazás részét képező scripten belül.
- A “href” paraméter által átadott bemeneti adatok a /rds-help/advanced/deferredView.jsp részére nincsenek megfelelően ellenőrizve, mielőtt visszaadásra kerülnének.Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységeket az 5.2.0.2 és korábbi verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
SECUNIA 49627