ITPub博客

首页 > Linux操作系统 > Linux操作系统 > Netcool跨站脚本及HTML代码注入漏洞

Netcool跨站脚本及HTML代码注入漏洞

原创 Linux操作系统 作者:tivoli2000 时间:2009-02-12 15:55:49 0 删除 编辑

受影响系统:

    IBM Tivoli Netcool Service Quality Manager

描述:BUGTRAQ  ID: 32233

IBM Tivoli Netcool Service Quality Manager是IBM Tivoli服务质量管理解决方案的核心软件。

Tivoli Netcool Service Quality Manager的Web接口中存在多个跨站脚本漏洞,已认证的用户可以使用报表生成功能创建名称中嵌入了恶意代码的报表,当在主面板中打开报表历史时就会在用户浏览器会话中执行注入的代码。

至少有以下三个页面存在漏洞:

      * http://server//ReportTree
      * http://server//Launch
      * http://server//ReportRequest

<*来源:Francesco Bianchino (f.bianchino@gmail.com)
 
  链接:http://marc.info/?l=bugtraq&m=122624648406239&w=2
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://server/root>/ReportTree?action=generatedreportresults&elementid="><!--&date=0000000000000
http://server//Launch?jnlpname==">
http://server//ReportRequest?dateformat=dd%2FMM%2Fyyyy&reporttitle=some_title&reportID=some_stuff&version=0&treesrc=&treetitle=&p_wstring=&p_dataperiod=none%3A%23%3Araw&startdate=01%2F01%2F2008&reporttype=offline&%3Atasklabel=&none_agg_specified=false&windowtype=main

建议:厂商补丁:

IBM目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.ers.ibm.com/

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/18983976/viewspace-548868/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2009-02-10

  • 博文量
    103
  • 访问量
    129303