IBM Rational Focal Point未明多个安全漏洞

2014-02-25T00:00:00
ID SSV:61554
Type seebug
Reporter Root
Modified 2014-02-25T00:00:00

Description

CVE ID:CVE-2014-0839、CVE-2014-0840、CVE-2014-0842、CVE-2014-0843、CVE-2014-0853

IBM Rational Focal Point是IBM Rational基于Web的产品管理系统,内置了面向客户和市场的产品管理流程,提供产品管理过程中的工作流自动化、信息相关性分析、信息统计分析以及信息的优先级分析功能。

IBM Rational Focal Point存在多个安全漏洞: 1,不正确过滤部分用户输入,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。 2,由于不正确的直接对象引用,可被攻击者利用漏洞修改系统数据。 3,不正确过滤返回给用户的输入,允许远程攻击者利用漏洞构建恶意URI,诱使用户解析,当恶意数据被查看时,可获取敏感信息或劫持用户会话。 4,部分相关文件上传的输入在使用之前缺少过滤,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。 5,存在未明错误,允许攻击者获取新用户的默认密码。 0 IBM Rational Focal Point 6.x 厂商补丁:

IBM

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞: http://www.ibm.com/support/docview.wss?uid=swg21665005 http://www.ibm.com/support/docview.wss?uid=swg24036323