Security Lab

Межсайтовый скриптинг в продуктах IBM Rational

Дата публикации:17.09.2014
Всего просмотров:849
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVSSv2 рейтинг: 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2014-3037
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM Rational Engineering Lifecycle Manager 1.x
IBM Rational Engineering Lifecycle Manager 4.x
IBM Rational Rhapsody Design Manager 3.x
IBM Rational Rhapsody Design Manager 4.x
IBM Rational Rhapsody Design Manager 5.x
IBM Rational Software Architect Design Manager 3.x
IBM Rational Software Architect Design Manager 4.x
IBM Rational Software Architect Design Manager 5.x
Уязвимые версии:
IBM Rational Engineering Lifecycle Manager 1.0
IBM Rational Engineering Lifecycle Manager 1.0.0.1
IBM Rational Engineering Lifecycle Manager 4.0.3
IBM Rational Engineering Lifecycle Manager 4.0.4
IBM Rational Engineering Lifecycle Manager 4.0.5
IBM Rational Engineering Lifecycle Manager 4.0.6
IBM Rational Engineering Lifecycle Manager 5.0
IBM Rational Software Architect Design Manager 3.0
IBM Rational Engineering Lifecycle Manager 3.0.0.1
IBM Rational Engineering Lifecycle Manager 3.0.1
IBM Rational Engineering Lifecycle Manager 4.0.6
IBM Rational Engineering Lifecycle Manager 5.0
IBM Rational Rhapsody Design Manager 3.0
IBM Rational Rhapsody Design Manager 3.0.0.1
IBM Rational Rhapsody Design Manager 3.0.1
IBM Rational Rhapsody Design Manager 4.0.6
IBM Rational Rhapsody Design Manager 5.0

Описание:

Уязвимость позволяет удаленному пользователю произвести XSS нападение.


Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение.

URL производителя: http://www-03.ibm.com/software/products/en/ratiengilifemana/

Решение: Установите последнюю версию с сайта производителя.
Ссылки: https://www.ibm.com/support/docview.wss?uid=swg21682120