漏洞信息详情
IBM Tivoli Netcool Service Quality Manager Web接口多个跨站脚本漏洞
- CNNVD编号:CNNVD-200811-185
- 危害等级: 低危
- CVE编号: CVE-2008-5043
- 漏洞类型: 跨站脚本
- 发布时间: 2008-11-12
- 威胁类型: 远程
- 更新时间: 2009-01-29
- 厂 商: ibm
- 漏洞来源: Francesco Bianchin...
漏洞简介
IBM Tivoli Netcool Service Quality Manager是美国IBM公司的一套将服务质量管理和服务水平协议组合用来管理电信服务质量的解决方案。该方案提供监控和改进客户体验的质量、综合的数据收集和丰富的构建服务模型等功能。
Tivoli Netcool Service Quality Manager的Web接口中存在多个跨站脚本漏洞,已认证的用户可以使用报表生成功能创建名称中嵌入了恶意代码的报表,当在主面板中打开报表历史时就会在用户浏览器会话中执行注入的代码。
至少有以下三个页面存在漏洞:
* http://server/<document\" root>/ReportTree
* http://server/<document\" root>/Launch
* http://server/<document\" root>/ReportRequest
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
IBM
---
http://www.ers.ibm.com/
参考网址
来源: XF
名称: metricaservice-reporttree-launch-xss(46495)
链接:http://xforce.iss.net/xforce/xfdb/46495
来源: VUPEN
名称: ADV-2008-3145
链接:http://www.vupen.com/english/advisories/2008/3145
来源: BID
名称: 32233
链接:http://www.securityfocus.com/bid/32233
来源: BUGTRAQ
名称: 20081108 Metrica Service Assurance Multiple Cross Site Scripting
链接:http://www.securityfocus.com/archive/1/archive/1/498168/100/0/threaded
来源: SREASON
名称: 4578
链接:http://securityreason.com/securityalert/4578
来源: FULLDISC
名称: 20081108 Metrica Service Assurance Multiple Cross Site Scripting
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2008-November/065520.HTML
受影响实体
- Ibm Metrica_service_assurance_framework
补丁
暂无
评论