CH azonosító
CH-5553Angol cím
TIBCO Managed File Transfer Products Cross-Site Scripting and Session Fixation VulnerabilitiesFelfedezés dátuma
2011.09.13.Súlyosság
AlacsonyÉrintett rendszerek
Managed File Transfer Command CenterManaged File Transfer Internet Server
Slingshot
TIBCO
Érintett verziók
TIBCO Managed File Transfer Command Center 7.x
TIBCO Managed File Transfer Internet Server 7.x
TIBCO Slingshot 1.x
Összefoglaló
A TIBCO Managed File Transfer termékek sérülékenységei váltak ismertté, amelyeket kihasználva a támadók cross-site scripting (CSS/XSS) és munkamenet rögzítés (session fixation) támadásokat hajthatnak végre.
Leírás
- Bizonyos, nem részleteztt bemeneti adat nincs megfelelően megtisztítva, mielőtt visszaadásra kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan.
- A munkamenetek kezelésében jelentkező hibát kihasználva felhasználható egy másik felhasználó munkamenete, ha egy speciálisan kialakított hivatkozás meglátogatása után jelentkezik be.
A sérülékenységek a következő termékeket érintik:
- TIBCO Managed File Transfer Internet Server 7.1.0 és korábbi verziók
- TIBCO Managed File Transfer Command Center 7.1.0 és korábbi verziók
- TIBCO Slingshot 1.8.0 és korábbi verziók
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.tibco.com
Gyártói referencia: www.tibco.com
SECUNIA 45976
CVE-2011-3423 - NVD CVE-2011-3423
CVE-2011-3424 - NVD CVE-2011-3424