Межсайтовый скриптинг в Novell Identity Manager

Дата публикации:
06.01.2011
Всего просмотров:
624
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2010-4324
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Novell Identity Manager 3.x
Novell Identity Manager 4.x
Уязвимые версии:
Identity Manager User Application 3.5.0 версии до Field Patch 350AG.
Identity Manager User Application 3.5.1 версии до Field Patch 351Z.
Identity Manager Roles Based Provisioning Module 3.6.0 (User Application 3.6.0) версии до Field Patch 360G.
Identity Manager Roles Based Provisioning Module 3.6.1 (User Application 3.6.1) версии до Field Patch 361E.
Identity Manager Roles Based Provisioning Module 3.7.0 (User Application 3.7.0) версии до Field Patch 370D.
Identity Manager Roles Based Provisioning Module 4.0.0 (User Application 4.0.0) версии до Field Patch 400A.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в the "Approval Form". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Решение: Установите последнюю версию с сайта производителя.

Ссылки: http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5085293.html
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5085950.html
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5087852.html
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5087853.html
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5087854.html
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5087855.html

или введите имя

CAPTCHA