IBM TRIRIGA Application Platform sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

IBM TRIRIGA Application Platform 2.x, 3.x

Összefoglaló

Az IBM TRIRIGA Application Platform több sérülékenységét jelentették, amiket kihasználva a támadók hamisításos (spoofing), cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadásokat hajthatnak végre.

Leírás

1. Különböző paramétereken keresztül számos script részére átadott bemeneti adatok nem nem megfelelően vannak megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában. Olvassa el a gyártó bejelentését az érintett script-ekről és paraméterekről!
2. Különböző paramétereken keresztül számos script részére átadott bemeneti adatok nem nem megfelelően vannak megtisztítva, mielőtt tartalomként megjelenítésre vagy hivatkozásokban felhasználásra kerülne. Ezt kihasználva tetszőleges hivatkozásokat lehet beilleszteni vagy tetszőleges tartalmat lehet megjeleníteni, ha a felhasználó rákattint egy speciálisan összeállított linkre. Olvassa el a gyártó bejelentését az érintett script-ekről és paraméterekről!
3. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva létre lehet hozni, törölni vagy megváltoztatni lehet a rendszer adatokat, ha egy bejelentkezett felhasználó meglátogat egy káros tartalmú weboldalt. Olvassa el a gyártó bejelentését az érintett verziókról!

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
CVE-2012-5948 - NVD CVE-2012-5948
CVE-2012-5949 - NVD CVE-2012-5949
CVE-2012-5950 - NVD CVE-2012-5950
SECUNIA 52961
SECUNIA 52965