Дата публикации: | 07.03.2012 |
Всего просмотров: | 2727 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 8 |
CVSSv2 рейтинг: | 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) |
CVE ID: |
CVE-2011-1394 CVE-2011-1395 CVE-2011-1396 CVE-2011-1397 CVE-2011-4816 CVE-2011-4817 CVE-2011-4818 CVE-2011-4819 CVE-2012-0195 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Раскрытие важных данных Неавторизованное изменение данных Спуфинг атака |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
IBM Maximo Asset Management 6.x
IBM Maximo Asset Management 7.x IBM Maximo Asset Management Essentials 6.x IBM Maximo Asset Management Essentials 7.x |
Уязвимые версии: IBM Maximo Asset Management 6.2 IBM Maximo Asset Management 7.1 IBM Maximo Asset Management 7.5 IBM Maximo Asset Management Essentials 6.2 IBM Maximo Asset Management Essentials 7.1 IBM Maximo Asset Management Essentials 7.5. Описание: 1. Уязвимость существует из-за отображения имени пользователя в опции about меню help. 2. Уязвимость существует из-за недостаточной проверки входных данных в параметре uisessionid. Удаленный пользователь может быть перенаправлен на произвольную web-страницу. 3. Уязвимость существует из-за ошибки при обработке входных данных в параметре controlid в сценарии imicon.jsp и параметре reportType в неизвестном сценарии. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 4. Уязвимость существует из-за ошибки при обработке входных данных в параметре uisesionid в сценарии maximo.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 5. Уязвимость существует из-за ошибки при обработке определенных входных данных в функционале Start Center Layout и Configuration. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 6. Уязвимость существует из-за отсутствия ограничений на выполнение определенных HTTP запросов. Удаленный пользователь может с помощью специально сформированной web-страницы осуществить отравление кеша или атаку межсайтового скриптинга. 7. Уязвимость существует из-за ошибки при обработке множественных UI сессий в одной HTTP. Удаленный пользователь может вызвать повышенное потребление системных ресурсов. 8. Уязвимость существует из-за недостаточной обработки входных данных в компоненте KPI. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. URL производителя: http://www.yealink.com/index.php Решение: Для устранения уязвимостей установите исправление с сайта производителя. |
|
Ссылки: |
http://www.ibm.com/support/docview.wss http://xforce.iss.net/xforce/xfdb/72004 http://xforce.iss.net/xforce/xfdb/72006 http://xforce.iss.net/xforce/xfdb/71996 http://xforce.iss.net/xforce/xfdb/71999 http://xforce.iss.net/xforce/xfdb/72008 http://xforce.iss.net/xforce/xfdb/72612 http://xforce.iss.net/xforce/xfdb/72000 http://xforce.iss.net/xforce/xfdb/71985 http://xforce.iss.net/xforce/xfdb/72001 |