CH azonosító
CH-5432Angol cím
IBM WebSphere Service Registry and Repository "User-Agent" HTTP Header Script InsertionFelfedezés dátuma
2011.08.22.Súlyosság
AlacsonyÉrintett rendszerek
IBMWebSphere Service Registry and Repository
Érintett verziók
IBM WebSphere Service Registry and Repository 6.x, 7.x
Összefoglaló
Az IBM WebSphere Service Registry and Repository olyan sérülékenységét jelentették, amelyet a támadók kihasználhatnak script beszúrásos (script insertion) támadásokra.
Leírás
Az agentDetect.jsp részére a “User-Agent” HTTP fejlécen keresztül átadott bemeneti adata nincs felhasználás előtt megfelelően ellenőrizve. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül lefuttatásra az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.
A sérülékenységet a 6.3.0.5, 7.0.0.5 és 7.5.0.1 verzióknál korábbiakban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: xforce.iss.net
SECUNIA 45686
CVE-2011-1357 - NVD CVE-2011-1357