Összefoglaló
Az IBM Records Manager olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva bizalmas adatokhoz juthatnak vagy cross-site scripting (XSS) és spoofing támadásokat indíthatnak.
Leírás
- Az alkalmazás meghatározatlan kérések során a jelszavakat titkosítatlan formában használhatja.
- Egy meghatározatlan bemenet nincs megfelelően ellenőrizve mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
- Egy meghatározatlan bemenet nincs megfelelően ellenőrizve mielőtt a felhasználók átirányításához használnák. Ezt kihasználva a felhasználót egy tetszőleges oldalra lehet átirányítani, pl. egy megbízható webhelyen található, speciálisan megszerkesztett link segítségével.
A sérülékenységeket a 4.5.1. verzióban jelentették, de korábbi verziók is érintettek lehetnek.
Megoldás
Frissítsen a 4.5.1.1-IER-FP001 verzióra és csak SSL kapcsolatokat használjon.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-01.ibm.com
SECUNIA 41344
