IBM Tivoli Application Dependency Discovery Manager w wersjach 7.3.0.0–7.3.0.10 jest podatny na atak typu HTTP header injection poprzez nagłówek HOST. Podatność uzyskała najwyższy możliwy wynik CVSS 10.0, co oznacza krytyczne zagrożenie dla systemów, na których jest wdrożona.
▸ Pokaż oryginał (EN)
IBM Tivoli Application Dependency Discovery Manager 7.3.0.0 through 7.3.0.10 is vulnerable to HTTP header injection, caused by improper validation of input by the HOST headers. This could allow an attacker to conduct various attacks against the vulnerable system, including cross-site scripting, cache poisoning or session hijacking. IBM X-Force ID: 270270.
Aplikacja nieprawidłowo waliduje dane wejściowe zawarte w nagłówku HTTP HOST przesyłanym przez klienta. Atakujący może wstrzyknąć do nagłówka złośliwe dane, manipulując w ten sposób odpowiedziami serwera. Mechanizm ten umożliwia przeprowadzenie ataków takich jak XSS (cross-site scripting), cache poisoning (zatrucie pamięci podręcznej) lub session hijacking (przejęcie sesji użytkownika). Atak nie wymaga uwierzytelnienia ani interakcji ze strony ofiary.
Atakujący może przejąć sesję użytkownika (session hijacking), wstrzyknąć złośliwe skrypty (XSS) wykonywane w kontekście przeglądarki ofiary lub zatruć pamięć podręczną (cache poisoning), co może prowadzić do kompromitacji poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły poprawki dostępne pod adresem: https://www.ibm.com/support/pages/node/7105139
IBM Tivoli Application Dependency Discovery Manager w wersjach od 7.3.0.0 do 7.3.0.10 włącznie.
Podatność została zidentyfikowana i zgłoszona przez IBM X-Force pod identyfikatorem ID: 270270.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HIBM Tivoli Application Dependency Discovery Manager
APPIbm7.3.0.0 – 7.3.0.11 (bez)
Powiązane podatności
IBM Tivoli Application Dependency Discovery Manager 7.3.0.0 through 7.3.0.10 could allow an attacker on the or...
IBM Tivoli Application Dependency Discovery Manager (TADDM) before 7.2.1.5 and 7.2.x before 7.2.2 make it easi...
IBM Tivoli Application Dependency Discovery Manager (TADDM) 7.1.2 and 7.2.0 through 7.2.1.4 might allow remote...
The BIRT viewer in IBM Tivoli Application Dependency Discovery Manager (TADDM) 7.2.1.x before 7.2.1.5 allows r...
XMLscanner.java in Apache Xerces2 Java Parser before 2.12.0, as used in the Java Runtime Environment (JRE) in ...