ZONE.CI 全球网

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

Tue, 26 Apr 2022 15:25:30 +0800

CVE编号

CVE-2015-7468

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-17

漏洞描述

IBM Jazz Reporting Service是美国IBM公司的一套用于发现跨项目报表的应用程序。Report Builder是其中的一个用于快速创建报表的工具。
IBM Jazz Reporting Service的Report Builder存在安全漏洞，允许远程攻击者可利用该漏洞绕过安全限制，执行管理任务。

解决建议

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：
http://www-01.ibm.com/support/docview.wss?uid=swg21972485

参考链接
http://www-01.ibm.com/support/docview.wss?uid=swg21972485

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	jazz_reporting_service	5.0	-
	运行在以下环境
	应用	ibm	jazz_reporting_service	5.0.1	-
	运行在以下环境
	应用	ibm	jazz_reporting_service	5.0.2	-
	运行在以下环境
	应用	ibm	jazz_reporting_service	6.0	-

攻击路径网络
攻击复杂度低
权限要求低
影响范围未更改
用户交互无
可用性无
保密性无
完整性低

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CWE-ID 漏洞类型 CWE-264 权限、特权和访问控制

IBM Jazz Reporting Service up to 5.0.2/6.0.0 Report Builder 跨站脚本攻击

Tue, 26 Apr 2022 15:25:27 +0800

CVE编号

CVE-2015-7467

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-17

漏洞描述

IBM Jazz Reporting Service是美国IBM公司的一套用于发现跨项目报表的应用程序。Report Builder是其中的一个用于快速创建报表的工具。
IBM Jazz Reporting Service的Report Builder存在跨站脚本漏洞，允许远程攻击者利用漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

解决建议

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：
http://www-01.ibm.com/support/docview.wss?uid=swg21972485

参考链接
http://www-01.ibm.com/support/docview.wss?uid=swg21972485

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	jazz_reporting_service	5.0	-
	运行在以下环境
	应用	ibm	jazz_reporting_service	5.0.1	-
	运行在以下环境
	应用	ibm	jazz_reporting_service	5.0.2	-
	运行在以下环境
	应用	ibm	jazz_reporting_service	6.0	-

攻击路径网络
攻击复杂度低
权限要求低
影响范围已更改
用户交互需要
可用性无
保密性低
完整性低

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

Tue, 26 Apr 2022 15:25:23 +0800

CVE编号

CVE-2015-7414

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-17

漏洞描述

IBM InfoSphere Master Data Management（MDM） - Collaborative Edition是一套为产品信息管理（PIM）提供协同编辑的解决方案。
IBM InfoSphere MDM - Collaborative EditionGDS组件中存在跨站脚本漏洞，允许远程攻击者利用漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

解决建议

用户可参考如下厂商提供的安全补丁以修复该漏洞：
http://www.ibm.com/

参考链接
http://www-01.ibm.com/support/docview.wss?uid=swg21971545

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	infosphere_master_data_management	10.1	-
	运行在以下环境
	应用	ibm	infosphere_master_data_management	11.0	-
	运行在以下环境
	应用	ibm	infosphere_master_data_management	11.3	-
	运行在以下环境
	应用	ibm	infosphere_master_data_management	11.4	-
	运行在以下环境
	应用	ibm	infosphere_master_data_management	9.1	-

攻击路径网络
攻击复杂度低
权限要求低
影响范围已更改
用户交互需要
可用性无
保密性低
完整性低

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

Tue, 26 Apr 2022 15:25:16 +0800

CVE编号

CVE-2015-4959

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-18

漏洞描述

IBM Tivoli Federated Identity Manager是美国IBM公司的一款跨企业的联邦身份管理产品。
IBM Tivoli Federated Identity Manager存在跨站脚本漏洞，允许远程攻击者利用漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

解决建议

用户可参考如下厂商提供的安全补丁以修复该漏洞：
http://www.ibm.com/

参考链接
http://www-01.ibm.com/support/docview.wss?uid=swg1IV77558
http://www-01.ibm.com/support/docview.wss?uid=swg21974157
http://www.securitytracker.com/id/1034697

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	tivoli_federated_identity_manager	6.2.2	-

攻击路径网络
攻击复杂度低
权限要求无
影响范围已更改
用户交互需要
可用性无
保密性低
完整性低

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

IBM WebSphere MQ Light拒绝服务漏洞

Tue, 26 Apr 2022 15:25:12 +0800

CVE编号

CVE-2015-4942

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-18

漏洞描述

IBM WebSphere MQ Light是IBM公司的一个基于IBM Bluemix的消息服务。
IBM WebSphere MQ Light 1.0.2之前的1.x版本中存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：
http://www-01.ibm.com/support/docview.wss?uid=swg21974169

参考链接
http://www-01.ibm.com/support/docview.wss?uid=swg21974169
http://www.securitytracker.com/id/1034698

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	websphere_mq_light	1.0	-
	运行在以下环境
	应用	ibm	websphere_mq_light	1.0.0.1	-

攻击路径网络
攻击复杂度低
权限要求无
影响范围未更改
用户交互无
可用性低
保密性无
完整性无

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L CWE-ID 漏洞类型 CWE-399 资源管理错误

IBM Security Network Protection GSKit信息泄露漏洞

Tue, 26 Apr 2022 15:25:04 +0800

CVE编号

CVE-2016-0201

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-18

漏洞描述

IBM Security Network Protection是美国IBM公司的一套下一代网络入侵防御系统。该系统可监控网络内应用使用、网站访问和操作执行情况，以避免受到恶意软件、僵尸网络等威胁攻击。IBM GSKit（IBM Global Security Toolkit）是用于其中的一套安全管理工具。
IBM Security Network Protection 5.3.1.7之前的5.3.1版本和5.3.2版本的GSKit中存在安全漏洞。远程攻击者可通过触发MD5碰撞利用该漏洞发现证书。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：
http://www-01.ibm.com/support/docview.wss?uid=swg21974242

参考链接
http://www-01.ibm.com/support/docview.wss?uid=swg21974242
http://www.securityfocus.com/bid/80883
http://www.securitytracker.com/id/1034696

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	ibm	security_network_protection_firmware	5.3.1	-
	运行在以下环境
	系统	ibm	security_network_protection_firmware	5.3.2	-

攻击路径网络
攻击复杂度高
权限要求无
影响范围未更改
用户交互无
可用性无
保密性高
完整性无

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N CWE-ID 漏洞类型 CWE-200 信息暴露

NetApp Data ONTAP信息泄露漏洞

Tue, 26 Apr 2022 15:24:58 +0800

CVE编号

CVE-2015-7886

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-18

漏洞描述

NetApp Data ONTAP是美国NetApp公司的一套存储操作系统。该系统支持提升用户的企业应用程序性能和提高数据中心灵活性等。
NetApp Data ONTAP 8.2.4P1之前版本存在安全漏洞。当程序启用7-Mode和HTTP访问时，远程攻击者可利用该漏洞获取敏感的数据卷信息。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：
http://kb.netapp.com/support/index?page=content&id=9010055

参考链接
http://kb.netapp.com/support/index?page=content&id=9010055
https://security.netapp.com/advisory/ntap-20160114-0002/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	netapp	data_ontap	*		Up to (including) 8.2.4

攻击路径网络
攻击复杂度高
权限要求无
影响范围未更改
用户交互无
可用性无
保密性低
完整性无

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N CWE-ID 漏洞类型 CWE-200 信息暴露

IBM WebSphere Commerce 至 8.0.0.0 空指针解引用

Tue, 26 Apr 2022 15:24:53 +0800

CVE编号

CVE-2015-5009

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-18

漏洞描述

IBM WebSphere Commerce是美国IBM公司的一套电子商务解决方案。该方案可在一个单一的客户交互平台上支持所有的销售业务模型，包括B2C、B2B和B2B2C。
IBM WebSphere Commerce存在跨站脚本漏洞。远程攻击者可通过特制的URL利用该漏洞注入任意Web脚本或HTML。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：
http://www-01.ibm.com/support/docview.wss?uid=swg21972610

参考链接
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54264
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54265
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54432
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54824
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54825
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54834
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54899
http://www-01.ibm.com/support/docview.wss?uid=swg21972610
http://www.securitytracker.com/id/1034695

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.0	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.1	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.10	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.11	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.2	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.3	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.4	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.5	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.6	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.7	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.8	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.9	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.1	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.2	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.3	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.4	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.5	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.6	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.7	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.8	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.9	-
	运行在以下环境
	应用	ibm	websphere_commerce	8.0.0.0	-

攻击路径网络
攻击复杂度低
权限要求低
影响范围已更改
用户交互需要
可用性无
保密性低
完整性低

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

IBM WebSphere Commerce up to 8.0.0.0 跨站脚本攻击

Tue, 26 Apr 2022 15:24:43 +0800

CVE编号

CVE-2015-5008

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-18

漏洞描述

IBM WebSphere Commerce是一套电子商务解决方案。该方案可在一个单一的客户交互平台上支持所有的销售业务模型，包括B2C、B2B和B2B2C。
IBM WebSphere Commerce存在跨站脚本漏洞，允许远程攻击者利用漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

解决建议

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54432

参考链接
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54264
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54265
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54432
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54824
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54825
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54834
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54899
http://www-01.ibm.com/support/docview.wss?uid=swg21972610
http://www.securitytracker.com/id/1034695

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.0	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.1	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.10	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.11	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.2	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.3	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.4	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.5	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.6	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.7	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.8	-
	运行在以下环境
	应用	ibm	websphere_commerce	6.0.0.9	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.1	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.2	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.3	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.4	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.5	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.6	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.7	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.8	-
	运行在以下环境
	应用	ibm	websphere_commerce	7.0.0.9	-
	运行在以下环境
	应用	ibm	websphere_commerce	8.0.0.0	-

攻击路径网络
攻击复杂度低
权限要求无
影响范围已更改
用户交互需要
可用性无
保密性低
完整性低

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

IBM Host On-Demand up to 11.0.14 跨站脚本攻击

Tue, 26 Apr 2022 15:24:41 +0800

CVE编号

CVE-2015-5002

利用情况

暂无

补丁情况

N/A

披露时间

2016-01-18

漏洞描述

IBM Host On-Demand是一套针对Java仿真的终端模拟器应用程序，它可通过基于浏览器的仿真提供对主机应用程序和数据的安全浏览器访问，并支持使用Java工具集快速创建定制Web应用程序等。
IBM Host On-Demand存在跨站脚本漏洞，允许远程攻击者利用漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

解决建议

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：
http://www-01.ibm.com/support/docview.wss?uid=swg21973985

参考链接
http://www-01.ibm.com/support/docview.wss?uid=swg21973985

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	host_on-demand	11.0	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.1	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.10	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.11	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.12	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.13	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.2	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.3	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.4	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.5	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.6	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.7	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.8	-
	运行在以下环境
	应用	ibm	host_on-demand	11.0.9	-

攻击路径网络
攻击复杂度低
权限要求无
影响范围已更改
用户交互需要
可用性无
保密性低
完整性低

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

ZONE.CI 全球网

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

IBM Jazz Reporting Service up to 5.0.2/6.0.0 Report Builder 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况

IBM WebSphere MQ Light拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

IBM Security Network Protection GSKit信息泄露漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

NetApp Data ONTAP信息泄露漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

IBM WebSphere Commerce 至 8.0.0.0 空指针解引用

漏洞描述

解决建议

参考链接

受影响软件情况

IBM WebSphere Commerce up to 8.0.0.0 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况

IBM Host On-Demand up to 11.0.14 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况