Множественные уязвимости в продуктах IBM System Storage

Дата публикации:
21.06.2012
Дата изменения:
21.06.2012
Всего просмотров:
1146
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
CVE ID:
CVE-2012-2171
CVE-2012-2172
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM DS4700 0.x
IBM System Storage DCS3700
IBM System Storage DS3200
IBM System Storage DS3300
IBM System Storage DS3400
IBM System Storage DS3512
IBM System Storage DS3950
IBM System Storage DS4200
IBM System Storage DS4300
IBM System Storage DS4500
IBM System Storage DS4800
IBM System Storage DS5020
IBM System Storage DS5100
IBM System Storage DS5300
IBM TotalStorage DS4100 (formerly FAStT100)
IBM TotalStorage DS4400 Midrange Disk System
Уязвимые версии: IBM System Storage DS Storage Manager версии до 10.83.xx.18.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "updateRegn" в сценарии SoftwareRegistration.do. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "selectedModuleOnly" в сценарии ModuleServlet.do. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: http://www-03.ibm.com/systems/storage/disk/index.html

Решение: Установите последнюю версию 10.83.xx.18 с сайта производителя.

Ссылки: https://www.ibm.com/connections/blogs/PSIRT/entry/secbulletin_stg-storage_cve-2012-2171_cve-2012-2172?lang=en_gb
http://www.ibm.com/support/entry/portal/docdisplay?lndocid=MIGR-5090850&brandind=5000028
http://www.zeroscience.mk/en/vulnerabilities/ZSL-2012-5094.php

или введите имя

CAPTCHA