TIBCO Managed File Transfer termékek cross-site scripting és munkamenet rögzítés sérülékenységei

CH azonosító

CH-5553

Angol cím

TIBCO Managed File Transfer Products Cross-Site Scripting and Session Fixation Vulnerabilities

Felfedezés dátuma

2011.09.13.

Súlyosság

Alacsony

Érintett rendszerek

Managed File Transfer Command Center
Managed File Transfer Internet Server
Slingshot
TIBCO

Érintett verziók

TIBCO Managed File Transfer Command Center 7.x
TIBCO Managed File Transfer Internet Server 7.x
TIBCO Slingshot 1.x

Összefoglaló

A TIBCO Managed File Transfer termékek sérülékenységei váltak ismertté, amelyeket kihasználva a támadók cross-site scripting (CSS/XSS) és munkamenet rögzítés (session fixation) támadásokat hajthatnak végre.

Leírás

  1. Bizonyos, nem részleteztt bemeneti adat nincs megfelelően megtisztítva, mielőtt visszaadásra kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
  2. A munkamenetek kezelésében jelentkező hibát kihasználva felhasználható egy másik felhasználó munkamenete, ha egy speciálisan kialakított hivatkozás meglátogatása után jelentkezik be.

A sérülékenységek a következő termékeket érintik:

  • TIBCO Managed File Transfer Internet Server 7.1.0 és korábbi verziók
  • TIBCO Managed File Transfer Command Center 7.1.0 és korábbi verziók
  • TIBCO Slingshot 1.8.0 és korábbi verziók

Megoldás

Frissítsen a legújabb verzióra