Множественные уязвимости в продуктах IBM System Storage
| Дата публикации: | 21.06.2012 |
| Всего просмотров: | 1473 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 2 |
| CVSSv2 рейтинг: | 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) |
| CVE ID: |
CVE-2012-2171 CVE-2012-2172 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Неавторизованное изменение данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
IBM DS4700 0.x
IBM System Storage DCS3700 IBM System Storage DS3200 IBM System Storage DS3300 IBM System Storage DS3400 IBM System Storage DS3512 IBM System Storage DS3950 IBM System Storage DS4200 IBM System Storage DS4300 IBM System Storage DS4500 IBM System Storage DS4800 IBM System Storage DS5020 IBM System Storage DS5100 IBM System Storage DS5300 IBM TotalStorage DS4100 (formerly FAStT100) IBM TotalStorage DS4400 Midrange Disk System |
| Уязвимые версии: IBM System Storage DS Storage Manager версии до 10.83.xx.18.
Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "updateRegn" в сценарии SoftwareRegistration.do. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "selectedModuleOnly" в сценарии ModuleServlet.do. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. URL производителя: http://www-03.ibm.com/systems/storage/disk/index.html Решение: Установите последнюю версию 10.83.xx.18 с сайта производителя. |
|
| Ссылки: |
https://www.ibm.com/connections/blogs/PSIRT/entry/secbulletin_stg-storage_cve-2012-2171_cve-2012-2172?lang=en_gb http://www.ibm.com/support/entry/portal/docdisplay?lndocid=MIGR-5090850&brandind=5000028 http://www.zeroscience.mk/en/vulnerabilities/ZSL-2012-5094.php |