CH azonosító
CH-14515Angol cím
IBM WebSphere Application Server Input Validation Flaw in CacheMonitor Lets Remote Users Conduct Cross-Site Scripting AttacksFelfedezés dátuma
2018.10.25.Súlyosság
KözepesÉrintett rendszerek
IBMWebSphere Application Server
Érintett verziók
IBM WebSphere Application Server 7.0, 8.0, 8.5, 9.0, Liberty
Összefoglaló
Az IBM WebSphere Application Server egy közepes kockázati besorolású sérülékenységét jelentették, amit kihasználva XSS támadást lehet indítani.
Leírás
A sérülékenységet az okozza, hogy a felhasználó által szolgáltatott HTML kódot nem megfelelően tisztítja meg a CacheMonitor komponens, mielőtt az megjelenítésre kerülne a böngészőben, ami tetszőleges script kód végrehajtását teszi lehetővé. Ennek következtében a támadó hozzáférhet az áldozat rendszerén lévő sütikhez (ide értve a hitelesítéshez használtakat is).
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-01.ibm.com
Egyéb referencia: securitytracker.com
CVE-2018-1767 - NVD CVE-2018-1767
