📚 IBM Jazz Reporting Service bis 5.0.2/6.0.0 Report Builder Cross Site Scripting

🕛 Zeit seit Veröffentlichung: 3015 Tage, 19 Stunden 3 Minuten
📆 Veröffentlicht am: 17.01.2016 um 01:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch

Allgemein

scipID: 80304
Betroffen: IBM Jazz Reporting Service bis 5.0.2/6.0.0
Veröffentlicht: 17.01.2016
Risiko: problematisch

Erstellt: 18.01.2016
Eintrag: 65.7% komplett

Beschreibung

Es wurde eine problematische Schwachstelle in IBM Jazz Reporting Service bis 5.0.2/6.0.0 ausgemacht. Betroffen hiervon ist eine unbekannte Funktion der Komponente Report Builder. Durch Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf die Integrität. CVE fasst zusammen:

Cross-site scripting (XSS) vulnerability in Report Builder in IBM Jazz Reporting Service (JRS) 5.x before 5.0.2-Rational-CLM-ifix011 and 6.0 before 6.0.0-Rational-CLM-ifix005 allows remote authenticated users to inject arbitrary web script or HTML via a crafted URL.

Die Schwachstelle wurde am 17.01.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2015-7467 geführt. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.

Ein Upgrade vermag dieses Problem zu beheben.

CVSS

Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND) [?]

CPE

• cpe:/a:ibm:jazz_reporting_service:5.0.2
• cpe:/a:ibm:jazz_reporting_service:6.0.0

Exploiting

Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $5k-$10k (0-day) / $1k-$2k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Timeline

17.01.2016 | Advisory veröffentlicht
18.01.2016 | VulDB Eintrag erstellt
18.01.2016 | VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2015-7467 (mitre.org) (nvd.nist.org) (cvedetails.com)

...