Множественные уязвимости в IBM Lotus Connections

Дата публикации:
31.10.2008
Всего просмотров:
1837
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-4805
CVE-2008-4806
CVE-2008-4807
CVE-2008-4808
CVE-2008-4809
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM Lotus Connections 2.x
Уязвимые версии: IBM Lotus Connections версии до 2.0.1

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, выполнить произвольные SQL команды и получить доступ к важным данным.

1. Уязвимость существует из-за недостаточной обработки входных данных в различных параметрах в компонентах Homepage, Blogs, Profiles, Dogear, Activities feed and RTE usage from Forum и Global Search. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в community title. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Уязвимость существует из-за недостаточной обработки входных данных в API. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за недостаточной обработки входных данных в параметре "sortField". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

5. Уязвимость существует из-за того, что пароль администратора приложения хранится в файле "trace.log".

6. Две уязвимости существуют из-за неизвестных ошибок. Злоумышленник может получить доступ к паролю администратора приложения.

7. Уязвимость существует из-за неизвестных ошибок на страницах поиска по профилям.

URL производителя: www-01.ibm.com/software/lotus/products/connections/

Решение: Установите последнюю версию 2.0.1 с сайта производителя.

Ссылки: http://www-01.ibm.com/support/docview.wss?uid=swg27014008

или введите имя

CAPTCHA