IBM Rational Quality Manager és Rational Test Lab Manager Tomcat “manager” alapértelmezett fiók sérülékenység


2010. november 5. 10:44

CH azonosító

CH-3896

Angol cím

IBM Rational Quality Manager and Rational Test Lab Manager Tomcat "manager" Default Account

Felfedezés dátuma

2010.11.04.

Súlyosság

Közepes

Érintett rendszerek

IBM
Rational Quality Manager

Érintett verziók

IBM Rational Quality Manager 1.x, 2.x

Összefoglaló

Az IBM Rational Quality Manager és Rational Test Lab Manager olyan sérülékenysége vált ismertté, amelyet támadók kihasználhatnak bizonyos biztonsági korlátozások megkerülésére és a sérülékeny rendszer feltörésére.

Leírás

A sérülékenység oka, hogy az alkalmazás alapértelmezett tanúsítványokkal telepít egy Tomcat “manager” fiókot. Ezt kihasználva hozzá lehet férni az érintett rendszerhez és tetszőleges kódot lehet futtatni rajta.

Megoldás

Korlátozza “manager” fiók hozzáférhetőségét a “tomcat-users.xml” segítségével!

Támadás típusa

Authentication Issues (Hitelesítés)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Egyéb referencia: www.zerodayinitiative.com
SECUNIA 41784
CVE-2010-4094 - NVD CVE-2010-4094

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4322 – WordPress sérülékenység
CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége
CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége
CVE-2025-20271 – Cisco AnyConnect VPN sérülékenység
CVE-2025-43200 – Apple Multiple Products Unspecified sérülékenysége
CVE-2023-0386 – Linux Kernel Improper Ownership Management sebezhetősége
CVE-2023-33538 – TP-Link Multiple Routers Command Injection sérülékenysége
CVE-2025-3464 – Asus Armoury Crate AsIO3.sys authorization bypass sérülékenysége
CVE-2025-4123 – Grafana cross-site scripting (XSS) sebezhetősége
Tovább a sérülékenységekhez »