CH azonosító
CH-4927Angol cím
TIBCO iProcess Suite Cross-Site Scripting and Session Fixation VulnerabilitiesFelfedezés dátuma
2011.05.18.Súlyosság
AlacsonyÖsszefoglaló
A TIBCO iProcess Suite két olyan sérülékenységét jelentették, amelyeket kihasználva a támadók cross-site scripting (CSS/XSS) és munkamenet rögzítés alapú támadásokat hajthatnak végre.
Leírás
- Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve, mielőtt visszaadásra kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngésző munkamenetében, az érintett oldal vonatkozásában.
- A munkamenetek kezelése során fellépő hibát kihasználva egy másik felhasználó munkamenete eltéríthető, amennyiben a felhasználó egy speciálisan megszerkesztett hivatkozáson keresztül lép be.
A sérülékenységeket az alábbi termékekben jelentették:
- TIBCO iProcess Engine 11.1.3 előtti verziók
- TIBCO iProcess Workspace (böngésző) 11.3.1 előtti verziók
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 44639
CVE-2011-2020 - NVD CVE-2011-2020
CVE-2011-2021 - NVD CVE-2011-2021
Gyártói referencia: www.tibco.com
Gyártói referencia: www.tibco.com