CH azonosító
CH-8716Angol cím
TIBCO Spotfire Web Player Two VulnerabilitiesFelfedezés dátuma
2013.03.14.Súlyosság
AlacsonyÉrintett rendszerek
Spotfire Web PlayerTIBCO
Érintett verziók
TIBCO Spotfire Web Player 3.x, 4.x, 5.x
Összefoglaló
A TIBCO Spotfire Web Player olyan sérülékenységei váltak ismertté, amelyeket a rosszindulatú felhasználók kihasználhatnak bizonyos biztonsági szabályok megkerülésére, valamint a támadók cross-site scripting (XSS/CSS) támadások kezdeményezésére.
Leírás
- Bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt a felhasználó részére visszaküldésre kerülne. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- A hozzáférés szabályozás végrehajtásában (access control enforcing) található nem részletezett hiba kihasználható korlátozott elérésű információhoz történő hozzáféréséhez.
A sérülékenységeket a 3.3.3 és megelőző, 4.0.x (4.0.3 megelőző), 4.5.0 és 5.0.0 verziókban ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.tibco.com
Gyártói referencia: www.tibco.com
SECUNIA 52584
CVE-2013-2372 - NVD CVE-2013-2372
CVE-2013-2373 - NVD CVE-2013-2373