CH azonosító
CH-9446Angol cím
IBM Tivoli Netcool/Impact Cross-Site Scripting and Request Forgery VulnerabilitiesFelfedezés dátuma
2013.06.18.Súlyosság
AlacsonyÖsszefoglaló
Az IBM Tivoli Netcool/Impact két sérülékenysége vált ismertté, amelyeket kihasználva a támadók cross-site scripting (CSS/XSS) és request forgery (CSRF/XSRF) támadásokat hajthatnak végre.
Leírás
- bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó számára visszaadásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.
- Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható pl. bizonyos nem részletezett tevékenységek elvégzésére, ha a bejelentkezett felhasználó meglátogat egy káros weboldalt.
A sérülékenységeket az 5.1.1 Fix Pack 2 (5.1.1-TIV-NCI-FP0002) előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
SECUNIA 53889
