Множественные уязвимости в продуктах IBM
| Дата публикации: | 25.12.2014 |
| Всего просмотров: | 790 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 9 |
| CVSSv2 рейтинг: | 7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) 7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) 7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 6 (AV:N/AC:M/Au:S/C:P/I:P/A:P/E:U/RL:OF/RC:C) 6.4 (AV:N/AC:L/Au:N/C:N/I:P/A:P/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) |
| CVE ID: |
CVE-2014-3508 CVE-2014-3509 CVE-2014-3511 CVE-2014-6076 CVE-2014-6077 CVE-2014-6080 CVE-2014-6082 CVE-2014-6086 CVE-2014-6088 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Раскрытие важных данных Неавторизованное изменение данных Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
IBM Security Access Manager for Mobile 8.x
IBM Security Access Manager for Web 8.x |
| Уязвимые версии: | IBM Security Access Manager for Mobile 8.0.0.0
IBM Security Access Manager for Mobile 8.0.0.1 IBM Security Access Manager for Mobile 8.0.0.3 IBM Security Access Manager for Mobile 8.0.0.4 IBM Security Access Manager for Mobile 8.0.0.5 IBM Security Access Manager for Web 8.0.0.2 IBM Security Access Manager for Web 8.0.0.3 IBM Security Access Manager for Web 8.0.0.4 IBM Security Access Manager for Web 8.0.0.5 |
| Описание: | Уязвимости позволяют удаленному пользователю осуществить XSS-атаку, раскрыть важные данные и неавторизованно изменить информацию, обойти ограничения безопасности и вызвать отказ в обслуживании. 1, 2, 3) Детальная информация об уязвимостях доступна по следующему адресу: http://www.securitylab.ru/vulnerability/456312.php (#1, #3, #8); 4) Уязвимость существует из-за недостаточной обработки входных данных в неизвестных параметрах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
5) Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF-нападение и выполнить неизвестные действия на целевой системе. Примечание: Для успешной эксплуатации уязвимости жертва должна перейти по специально сформированной ссылке. 6) Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF-нападение и выполнить неизвестные действия на целевой системе.. Примечание: Для успешной эксплуатации уязвимости жертва должна перейти по вредоносной ссылке. 7) Уязвимость существует из-за неизвестной ошибки, вследствие которой приложение использует соединение по HTTP вместо HTTPS. Удаленный пользователь может осуществить атаку "человек посередине" и раскрыть важные данные. 8) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать недоступность некоторых компонентов административного интерфейса. |
| URL производителя: |
http://www.ibm.com/software/products/en/access-mgr-mobile http://www-03.ibm.com/software/products/en/access-mgr-web/ |
| Решение: | Установите исправление с сайта производителя. |
| Ссылки: |
https://www.ibm.com/support/docview.wss?uid=swg21683342 https://www.ibm.com/support/docview.wss?uid=swg21684475 |