Множественные уязвимости вSerena Dimensions CM

Дата публикации:	19.03.2014
Всего просмотров:	968
Опасность:	Низкая
Наличие исправления:	Нет
Количество уязвимостей:	2
CVSSv2 рейтинг:	4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) 2.6 (AV:N/AC:H/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C)
CVE ID:	CVE-2014-0335 CVE-2014-0336
Вектор эксплуатации:	Удаленная
Воздействие:	Межсайтовый скриптинг
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Serena Dimensions CM 12.x
	Уязвимые версии: Serena Dimensions CM 12.2 Build 7.199.0, возможно более ранние версии Описание: Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение. 1. Уязвимость существует из-за недостаточной обработки входных данных в различных параметрах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Список уязвимых параметров: http://[host]/dimensions/?DB_CONN http://[host]/dimensions/?DB_NAME http://[host]/dimensions/?DM_HOST http://[host]/dimensions/?MAN_DB_NAME http://[host]/dimensions/?framecmd http://[host]/dimensions/?identifier http://[host]/dimensions/?merant.adm.adapters.AdmDialogPropertyMgr http://[host]/dimensions/?nav_frame http://[host]/dimensions/?nav_jsp http://[host]/dimensions/?target_frame http://[host]/dimensions/?id http://[host]/dimensions/?type 2. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF нападение и выполнить определенные неправомерные действия. URL производителя: http://www.serena.com Решение: Способов устранения уязвимости не существует в настоящее время.
Ссылки:	http://www.kb.cert.org/vuls/id/823452

Множественные уязвимости вSerena Dimensions CM

Подпишитесь на email рассылку