IBM Rational Focal Point未明多个安全漏洞

CVE ID:CVE-2014-0839、CVE-2014-0840、CVE-2014-0842、CVE-2014-0843、CVE-2014-0853

IBM Rational Focal Point是IBM Rational基于Web的产品管理系统，内置了面向客户和市场的产品管理流程，提供产品管理过程中的工作流自动化、信息相关性分析、信息统计分析以及信息的优先级分析功能。

IBM Rational Focal Point存在多个安全漏洞：
1，不正确过滤部分用户输入，允许远程攻击者利用漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。
2，由于不正确的直接对象引用，可被攻击者利用漏洞修改系统数据。
3，不正确过滤返回给用户的输入，允许远程攻击者利用漏洞构建恶意URI，诱使用户解析，当恶意数据被查看时，可获取敏感信息或劫持用户会话。
4，部分相关文件上传的输入在使用之前缺少过滤，允许远程攻击者利用漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。
5，存在未明错误，允许攻击者获取新用户的默认密码。
0
IBM Rational Focal Point 6.x
厂商补丁：

IBM

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：
http://www.ibm.com/support/docview.wss?uid=swg21665005
http://www.ibm.com/support/docview.wss?uid=swg24036323