Межсайтовый скриптинг в Business Objects WebIntelligence

Дата публикации:
19.09.2004
Всего просмотров:
810
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Business Objects WebIntelligence 2.7

Описание: Уязвимость обнаружена в Business Objects WebIntelligence. Удаленный пользователь может неавторизованно удалять документы. Удаленный пользователь может выполнить XSS нападение.

Удаленный авторизованный пользователь без привилегий на удаление может представить delete запрос с document ID и именем документа, чтобы заставить целевой приложение удалять определенный документ.

Также сообщается что программа не фильтрует РЬЕД код в параметре 'Personalized Picture' и в имени документа, при его загрузке.

URL производителя: http://www.businessobjects.com/products/queryanalysis/webi.asp

Решение:Установите соответствующее обновление:

WebIntelligence 2.7.0 - 2.7.2 & InfoView 5.1.4 - 5.1.6 (SP4-SP6):

Upgrade to SP7 or SP8 and apply available patches

WebIntelligence 2.7.3 & InfoView 5.1.7 (SP7):

Download the update for Windows, Windows JP,Sun, AIX, & HP (CSP860)

WebIntelligence 2.7.4 & InfoView 5.1.8 (SP8):

Download the update for Windows, Windows JP,Sun, AIX, & HP (CSP864)


Ссылки: [Full-Disclosure] Corsaire Security Advisory - Business Objects WebIntelligence arbitrary document deletion issue
[Full-Disclosure] Corsaire Security Advisory - Business Objects WebIntelligence XSS issue
или введите имя

CAPTCHA