Межсайтовый скриптинг в IBM Tivoli Business Systems Manager

Дата публикации:
03.04.2006
Дата изменения:
25.05.2008
Всего просмотров:
971
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM Tivoli Business Systems Manager 3.x
Уязвимые версии: IBM Tivoli Business Systems Manager 3.1

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "skin" сценария "apwc_win_main.jsp". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

https://[host]:9443/TbsmWebConsole/help/en/jsp/apwc_win_main.jsp?skin=[code]

URL производителя: www-306.ibm.com/software/tivoli/products/bus-sys-mgr/

Решение: Установите исправление с сайта производителя.

LA Fix 112(3.1.0.1-TIV-BSM-LA0112):
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24011851

LA Fix 116(3.1.0.1-TIV-BSM-LA0116):
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24011849

Ссылки: OA14904: INSUFFICIENT VALIDATION OF THE SKIN PARAMETER VALUE LEADING TO A TBSM CROSS-SITE SCRIPTING VULNERABILITY

или введите имя

CAPTCHA