Security Lab

Множественные уязвимости в продуктах IBM Maximo Asset Management

Дата публикации:06.09.2012
Дата изменения:22.01.2013
Всего просмотров:981
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:5
CVSSv2 рейтинг: 5.1 (AV:N/AC:H/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C)
7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C)
5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2012-0714
CVE-2012-0727
CVE-2012-0728
CVE-2012-0746
CVE-2012-0747
CVE-2012-2183
CVE-2012-2184
CVE-2012-2185
CVE-2012-3313
CVE-2012-3326
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие важных данных
Внедрение в сессию пользователя
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM Maximo Asset Management 6.x
IBM Maximo Asset Management 7.x
IBM Maximo Asset Management Essentials 6.x
IBM Maximo Asset Management Essentials 7.x
IBM SmartCloud Control Desk 7.x
IBM Tivoli Asset Management for IT 6.x
IBM Tivoli Asset Management for IT 7.x
IBM Tivoli Change and Configuration Management Database 6.x
IBM Tivoli Change and Configuration Management Database 7.x
IBM Tivoli Service Request Manager 7.x
Уязвимые версии:
IBM Maximo Asset Management версии 7.5, 7.1 и 6.2
IBM Maximo Asset Management Essentials версии 7.5, 7.1 и 6.2
IBM SmartCloud Control Desk версия 7.5
IBM Tivoli Asset Management for IT версии 7.2, 7.1 и 6.2
IBM Tivoli Service Request Manager версии 7.2 и 7.1
IBM Maximo Service Desk версия 6.2
IBM Change and Configuration Management Database версии 7.2 and 7.1

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, внедриться в сессию пользователя, выполнить произвольные SQL команды и получить доступ к важным данным.

1. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение.

2. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

3. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за ошибки при обработке сессий. Удаленный пользователь может обманом заставить пользователя нажать на специально сформированную ссылку и получить доступ к его сессии.

5. Уязвимость существует из-за неизвестной ошибки, которая позволяет удаленному пользователю получить доступ к важным данным.

URL производителя: www.ibm.com

Решение: Установите исправление с сайта производителя.

Ссылки: http://www.ibm.com/support/docview.wss?uid=swg21610081
Журнал изменений: a:2:{s:4:"TEXT";s:43:"22.01.2013
Незначительные изменения.";s:4:"TYPE";s:4:"html";}