Множественные уязвимости в IBM Maximo Asset Managemen

Дата публикации:
07.03.2012
Дата изменения:
07.03.2012
Всего просмотров:
2387
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
8
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
CVE ID:
CVE-2011-1394
CVE-2011-1395
CVE-2011-1396
CVE-2011-1397
CVE-2011-4816
CVE-2011-4817
CVE-2011-4818
CVE-2011-4819
CVE-2012-0195
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM Maximo Asset Management 6.x
IBM Maximo Asset Management 7.x
IBM Maximo Asset Management Essentials 6.x
IBM Maximo Asset Management Essentials 7.x
Уязвимые версии:
IBM Maximo Asset Management 6.2
IBM Maximo Asset Management 7.1
IBM Maximo Asset Management 7.5
IBM Maximo Asset Management Essentials 6.2
IBM Maximo Asset Management Essentials 7.1
IBM Maximo Asset Management Essentials 7.5.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю осуществить DOS-атаку.

1. Уязвимость существует из-за отображения имени пользователя в опции about меню help.

2. Уязвимость существует из-за недостаточной проверки входных данных в параметре uisessionid. Удаленный пользователь может быть перенаправлен на произвольную web-страницу.

3. Уязвимость существует из-за ошибки при обработке входных данных в параметре controlid в сценарии imicon.jsp и параметре reportType в неизвестном сценарии. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за ошибки при обработке входных данных в параметре uisesionid в сценарии maximo.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

5. Уязвимость существует из-за ошибки при обработке определенных входных данных в функционале Start Center Layout и Configuration. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

6. Уязвимость существует из-за отсутствия ограничений на выполнение определенных HTTP запросов. Удаленный пользователь может с помощью специально сформированной web-страницы осуществить отравление кеша или атаку межсайтового скриптинга.

7. Уязвимость существует из-за ошибки при обработке множественных UI сессий в одной HTTP. Удаленный пользователь может вызвать повышенное потребление системных ресурсов.

8. Уязвимость существует из-за недостаточной обработки входных данных в компоненте KPI. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: http://www.yealink.com/index.php

Решение: Для устранения уязвимостей установите исправление с сайта производителя.

Ссылки: http://www.ibm.com/support/docview.wss
http://xforce.iss.net/xforce/xfdb/72004
http://xforce.iss.net/xforce/xfdb/72006
http://xforce.iss.net/xforce/xfdb/71996
http://xforce.iss.net/xforce/xfdb/71999
http://xforce.iss.net/xforce/xfdb/72008
http://xforce.iss.net/xforce/xfdb/72612
http://xforce.iss.net/xforce/xfdb/72000
http://xforce.iss.net/xforce/xfdb/71985
http://xforce.iss.net/xforce/xfdb/72001

или введите имя

CAPTCHA