IBM Tivoli Endpoint Manager “ScheduleParam” cross-site scripting sérülékenység


2012. március 19. 09:12

CH azonosító

CH-6547

Angol cím

IBM Tivoli Endpoint Manager "ScheduleParam" Cross-Site Scripting Vulnerability

Felfedezés dátuma

2012.03.14.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Tivoli Endpoint Manager

Érintett verziók

IBM Tivoli Endpoint Manager 8.x

Összefoglaló

Az IBM Tivoli Endpoint Manager olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások kezdeményezésére.

Leírás

A “ScheduleParam” paraméterrel a webreports-nak átadott bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.

Megoldás

Telepítse a TEM8.2 patch 3. javítócsomagot. További részleteket a gyártó internetes oldalán találhat.

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.ibm.com
SECUNIA 48352