Межсайтовый скриптинг в Business Objects WebIntelligence
| Дата публикации: | 19.09.2004 |
| Всего просмотров: | 1096 |
| Опасность: | Средняя |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: Business Objects WebIntelligence 2.7
Описание: Уязвимость обнаружена в Business Objects WebIntelligence. Удаленный пользователь может неавторизованно удалять документы. Удаленный пользователь может выполнить XSS нападение. Удаленный авторизованный пользователь без привилегий на удаление может представить delete запрос с document ID и именем документа, чтобы заставить целевой приложение удалять определенный документ. Также сообщается что программа не фильтрует РЬЕД код в параметре 'Personalized Picture' и в имени документа, при его загрузке. URL производителя: http://www.businessobjects.com/products/queryanalysis/webi.asp Решение:Установите соответствующее обновление: WebIntelligence 2.7.0 - 2.7.2 & InfoView 5.1.4 - 5.1.6 (SP4-SP6): Upgrade to SP7 or SP8 and apply available patches WebIntelligence 2.7.3 & InfoView 5.1.7 (SP7): Download the update for Windows, Windows JP,Sun, AIX, & HP (CSP860) WebIntelligence 2.7.4 & InfoView 5.1.8 (SP8): Download the update for Windows, Windows JP,Sun, AIX, & HP (CSP864) |
|
| Ссылки: |
[Full-Disclosure] Corsaire Security Advisory - Business Objects WebIntelligence arbitrary document deletion issue [Full-Disclosure] Corsaire Security Advisory - Business Objects WebIntelligence XSS issue |