Дата публикации: | 04.05.2009 |
Всего просмотров: | 3100 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2009-1288 CVE-2009-1289 CVE-2009-1290 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | IBM BladeCenter Advanced Management Module Firmware 1.x |
Уязвимые версии: IBM BladeCenter Advanced Management Module версии до 1.42U
Описание: 1. Уязвимость существует из-за недостаточной проверки входных данных в имени пользователя при просмотре журнала событий. Удаленный пользователь может с помощью специально сформированного имени пользователя выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "PATH" в private/file_management.ssi. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 3. Уязвимость существует из-за ошибки в административном интерфейсе приложения, которая позволяет просмотреть привилегии на доступ для других пользователей. 4. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение. 5. Уязвимость существует из-за неизвестной ошибки, которая позволяет осуществить перенаправление порта посредством SSH. URL производителя: www.demos.ibm.com/servers/Demo/IBM_Demo_IBM_BladeCenter_Advanced_Management_Module-Nov06.html Решение: Установите последнюю версию 1.42U с сайта производителя. |
|
Ссылки: |
http://www-947.ibm.com/systems/support/supportsite.wss/docdisplay?lndocid=MIGR-5076204&brandind=5000020 http://www-947.ibm.com/systems/support/supportsite.wss/docdisplay?lndocid=MIGR-5076206&brandind=5000020 http://www.louhinetworks.fi/advisory/ibm_090409.txt |