Összefoglaló
Több sérülékenységet találtak a Novell Identity Manager-ben, amelyeket kihasználva a támadók cross-site scripting (XSS) támadást hajthatnak végre.
Leírás
- A ForgotPassword.jsp-nek átadott paraméter nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
- A forgotUser.do egy nem ismertetett paraméterének átadott adat nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
- Egy nem részletezett Portlet egy ismeretlen paraméterének átadott adat nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységeket az Identity Manager Roles Based Provisioning Module 3.7.0 (User Application 3.7.0), Field Patch 370C előtti kiadásaiban találták.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: support.novell.com
SECUNIA 40491