Összefoglaló
A Novell iManager olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók cross-site scripting (CSS/XSS), script beszúrásos és SQL befecskendezéses támadásokat indíthatnak.
Leírás
- Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve, mielőtt visszaadásra kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngésző munkamenetében, az érintett oldal vonatkozásában.
- Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve, mielőtt felhasználásra kerülne. Ezt kihasználva tetszőleges HTML illetve script kódot lehet a felhasználó munkamenetébe beilleszteni és lefuttatni, a kártékony adatok megtekintésekor.
- Bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt SQL lekérdezésekben felhasználásra kerülne. Ez kihasználható SQL lekérdezések manipulálására tetszőleges kód befecskendezésével.
A sérülékenységeket a Novell iManager 2.7 SP4 Patch 3 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.novell.com
SECUNIA 48582