IBM Sterling Order Management sérülékenységek

CH azonosító

CH-8746

Angol cím

IBM Sterling Order Management Cross-Site Scripting and XPath Injection Vulnerabilities

Felfedezés dátuma

2013.03.18.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Sterling Order Management

Érintett verziók

IBM Sterling Order Management 8.x, 9.x

Összefoglaló

Az IBM Sterling Order Management két sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók módosíthatnak bizonyos adatokat, illetve a támadók cross-site scripting (XSS/CSS) támadásokat indíthatnak.

Leírás

  1. Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt XPath lekérdezésekben felhasználásra kerülnének. Ezt kihasználva tetszőleges XML fájlt meg lehet szerezni.
  2. Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenységeket a 9.2.0, 9.1.0, 9.0, 8.5 és 8.0 verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra