IBM Tivoli Storage Manager客户端CAD服务HTML注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1188607 漏洞类型 跨站脚本
发布时间 2007-10-29 更新时间 2007-10-29
CVE编号 CVE-2007-4348 CNNVD-ID CNNVD-200710-537
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
https://www.securityfocus.com/bid/26221
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200710-537
|漏洞详情
TivoliStorageManager是一种遵循ANSISAN标准的可扩展解决方案,用于发现、监控和管理企业SAN架构组件,并可分配和自动操纵企业的附加磁盘存储资源。IBMTivoliStorageManager客户端实现上存在代码注入漏洞,远程攻击者可能利用此漏洞在用户浏览器中执行恶意代码。IBMTivoliStorageManager客户端在记录某些对CAD服务的HTTP请求时没有执行正确的过滤,允许攻击者向dsmerror.log文件中注入任意HTML和脚本代码。如果之后用户使用CAD服务的FILE功能通过基于WEB的界面查看了日志文件的话,就会在用户浏览器会话中执行注入的代码。
|受影响的产品
IBM Tivoli Storage Manager 5.4.1 .2 Client IBM Tivoli Storage Manager 5.3.5 .3 Client
|参考资料

来源:VUPEN
名称:ADV-2007-3635
链接:http://www.frsirt.com/english/advisories/2007/3635
来源:MISC
链接:http://secunia.com/secunia_research/2007-75/advisory
来源:SECUNIA
名称:27013
链接:http://secunia.com/advisories/27013
来源:XF
名称:ibm-tsm-cad-xss(38125)
链接:http://xforce.iss.net/xforce/xfdb/38125
来源:SECTRACK
名称:1018868
链接:http://www.securitytracker.com/id?1018868
来源:BID
名称:26221
链接:http://www.securityfocus.com/bid/26221