Множественные уязвимости в продуктах IBM

Дата публикации:
02.09.2014
Дата изменения:
02.09.2014
Всего просмотров:
821
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2014-3024
CVE-2014-3084
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM Maximo Asset Management 7.x
IBM Maximo Asset Management Essentials 7.x
IBM SmartCloud Control Desk 7.x
IBM Tivoli Asset Management for IT 7.x
IBM Tivoli Change and Configuration Management Database 7.x
IBM Tivoli Service Request Manager 7.x
Уязвимые версии:
IBM Maximo Asset Management 7.5
IBM Maximo Asset Management 7.1
IBM Maximo Asset Management Essentials 7.5
IBM Maximo Asset Management Essentials 7.1
IBM Maximo for Government versions 7.5
IBM Maximo for Government versions 7.1
IBM Maximo for Nuclear Power 7.5
IBM Maximo for Nuclear Power 7.1
IBM Maximo for Transportation 7.5
IBM Maximo for Transportation 7.1
IBM Maximo for Life Sciences 7.5
IBM Maximo for Life Sciences 7.1
IBM Maximo for Oil and Gas 7.5
IBM Maximo for Oil and Gas 7.1
IBM Maximo for Utilities 7.5
IBM Maximo for Utilities 7.1
IBM SmartCloud Control Desk 7.5
IBM Tivoli Asset Management for IT 7.2
IBM Tivoli Asset Management for IT 7.1
IBM Tivoli Service Request Manager 7.2
IBM Tivoli Service Request Manager 7.1
IBM Change and Configuration Management Database 7.2
IBM Change and Configuration Management Database 7.1

Описание:
Уязвимости позволяют удаленному пользователю обойти ограничения безопасности и осуществить XSS-нападение.

1. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может осуществить CSRF-нападение.

2. Уязвимость существует из-за ошибки в календаре. Удаленный пользователь может манипулировать защищенными данными календаря.

URL производителя: http://www.ibm.com/support/entry/portal/Overview/Software/Tivoli/Maximo_Asset_Management

Решение: Установите последнюю версию с сайта производителя.

Ссылки: https://www.ibm.com/support/docview.wss?uid=swg21679918
https://www.ibm.com/support/docview.wss?uid=swg21681020