跳至主內容

IBM WebSphere MQ 多個漏洞

最後更新 2012年08月14日 14:33 發佈日期: 2012年08月14日 1939 觀看次數

風險: 中度風險

類型: 伺服器 - 網絡管理

類型: 網絡管理

在IBM WebSphere MQ發現兩個漏洞,惡意使用者可利用漏洞,導致繞過某些保安限制,及惡意使用者可利用漏洞,進行跨站點請求偽造攻擊。

  1. 由於應用程式不進行任何驗證去確認請求,讓使用者可透過HTTP請求,進行某些行動。例如:如果登錄的使用者瀏覽一個惡意網站,可更改用戶的用戶空間或更改檔案空間的權限。
    此漏洞影響 File Transfer Edition 7.0.3及7.0.4版本 和 Managed File Transfer 7.5.0版本。其他版本可能受影響。
  2. 由於應用程式不驗證傳取權限,惡意使用者可利用漏洞,下載其他用戶的檔案。
    利用漏洞的惡意使用者需要知道檔案的URL
    此漏洞影響 File Transfer Edition 7.0.3及7.0.4版本,其他版本可能受影響。

影響

  • 跨網站指令碼
  • 繞過保安限制

受影響之系統或技術

  • IBM WebSphere MQ 7.x
  • IBM WebSphere MQ File Transfer Edition 7.x

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • 安裝修補程式 APARs IC82761 及 IC85516

漏洞識別碼


資料來源


相關連結