Множественные уязвимости в IBM продуктах
| Дата публикации: | 09.06.2014 |
| Всего просмотров: | 891 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 13 |
| CVSSv2 рейтинг: | 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C) 5.8 (AV:N/AC:M/Au:N/C:N/I:P/A:P/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) |
| CVE ID: |
CVE-2012-3333 CVE-2013-0451 CVE-2013-2998 CVE-2013-4016 CVE-2013-5402 CVE-2013-5460 CVE-2013-5464 CVE-2013-5465 CVE-2013-6741 CVE-2014-0824 CVE-2014-0825 CVE-2014-0849 CVE-2014-0893 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных Неавторизованное изменение данных Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
IBM Maximo Asset Management 7.x
IBM Maximo Asset Management Essentials 7.x IBM SmartCloud Control Desk 7.x IBM Tivoli Asset Management for IT 7.x IBM Tivoli Change and Configuration Management Database 7.x IBM Tivoli Service Request Manager 7.x |
| Уязвимые версии: IBM Maximo Asset Management 7.x IBM Maximo Asset Management Essentials 7.x IBM SmartCloud Control Desk 7.x IBM Tivoli Asset Management for IT 7.x IBM Tivoli Change and Configuration Management Database 7.x IBM Tivoli Service Request Manager 7.x, возможно более ранние версии Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в отображении имени пользователя. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при просмотре вредоносных данных. 2. Уязвимость существует из-за недостаточной обработки входных данных в фильтре List Page Description. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 3. Уязвимость существует из-за недостаточной обработки входных данных в параметрах URL. Удаленный пользователь может вставить произвольные HTTP заголовки, которые будут включены в отправленный ответ пользователю. 4. Уязвимость существует из-за ошибки при обработке недействительного кода в frontcontroller.jsp. Удаленный пользователь может получить доступ к определенной конфиденциальной информации. 5. Уязвимость существует из-за недостаточной обработки входных данных в отчетах Birt. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 6. Приложение не правильно ограничивает доступ к функциональности storeroom. Удаленный пользователь может манипулировать иными расчетами storeroom. 7. Приложение не правильно ограничивает доступ к определенным журналам связи. Удаленный пользователь может получить доступ к иным журналам связи не связанных с записями. 8. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может получить доступ к ошибкам трассировки стека Birt. 9. Уязвимость существует из-за недостаточной обработки входных данных в привязке URL-адресов. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при просмотре вредоносных данных. 10. Уязвимость существует из-за недостаточной обработки входных данных в параметрах отчета openreport.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при просмотре вредоносных данных. 11. Приложение не правильно ограничивает доступ к определенным журналом связи. Удаленный пользователь может получить доступ к иным журналам связи не связанных с записями. 12. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может получить привилегии ограниченной безопасности второй группы для того же пользователя. 13. Уязвимость существует из-за недостаточной обработки входных данных в параметрах отчета openreport.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при просмотре вредоносных данных. Обратитесь к производителю для списка уязвимых продуктов. URL производителя: http://www.ibm.com/ Решение: Установите последнюю версию с сайта производителя. |
|
| Ссылки: | http://www.ibm.com/support/docview.wss?uid=swg21670870 |