TIBCO Managed File Transfer termékek cross-site scripting és munkamenet rögzítés sérülékenységei

CH azonosító

CH-5553

Angol cím

TIBCO Managed File Transfer Products Cross-Site Scripting and Session Fixation Vulnerabilities

Felfedezés dátuma

2011.09.13.

Súlyosság

Alacsony

Érintett rendszerek

Managed File Transfer Command Center
Managed File Transfer Internet Server
Slingshot
TIBCO

Érintett verziók

TIBCO Managed File Transfer Command Center 7.x
TIBCO Managed File Transfer Internet Server 7.x
TIBCO Slingshot 1.x

Összefoglaló

A TIBCO Managed File Transfer termékek sérülékenységei váltak ismertté, amelyeket kihasználva a támadók cross-site scripting (CSS/XSS) és munkamenet rögzítés (session fixation) támadásokat hajthatnak végre.

Leírás

  1. Bizonyos, nem részleteztt bemeneti adat nincs megfelelően megtisztítva, mielőtt visszaadásra kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
  2. A munkamenetek kezelésében jelentkező hibát kihasználva felhasználható egy másik felhasználó munkamenete, ha egy speciálisan kialakított hivatkozás meglátogatása után jelentkezik be.

A sérülékenységek a következő termékeket érintik:

  • TIBCO Managed File Transfer Internet Server 7.1.0 és korábbi verziók
  • TIBCO Managed File Transfer Command Center 7.1.0 és korábbi verziók
  • TIBCO Slingshot 1.8.0 és korábbi verziók

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-27007 – OttoKit (korábban: SureTriggers) sérülékenysége
CVE-2025-32756 – Fortinet Multiple Products Stack-Based Buffer Overflow sebezhetősége
CVE-2025-30400 – Microsoft Windows DWM Core Library sérülékenysége
CVE-2025-32701 – Microsoft Windows Common Log File System sérülékenysége
CVE-2025-32706 – Microsoft Windows Common Log File System sérülékenysége
CVE-2025-30397 – Microsoft Windows Scripting Engine sérülékenysége
CVE-2025-32709 – Microsoft Windows Ancillary Function Driver sérülékenysége
CVE-2025-47729 – TeleMessage TM SGNL Hidden Functionality sebezhetősége
CVE-2024-11120 – GeoVision Devices OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »