๐ IBM Jazz Reporting Service bis 5.0.2/6.0.0 Report Builder Cross Site Scripting
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80304
Betroffen: IBM Jazz Reporting Service bis 5.0.2/6.0.0
Veröffentlicht: 17.01.2016
Risiko: problematisch
Erstellt: 18.01.2016
Eintrag: 65.7% komplett
Beschreibung
Es wurde eine problematische Schwachstelle in IBM Jazz Reporting Service bis 5.0.2/6.0.0 ausgemacht. Betroffen hiervon ist eine unbekannte Funktion der Komponente Report Builder. Durch Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf die Integrität. CVE fasst zusammen:
Cross-site scripting (XSS) vulnerability in Report Builder in IBM Jazz Reporting Service (JRS) 5.x before 5.0.2-Rational-CLM-ifix011 and 6.0 before 6.0.0-Rational-CLM-ifix005 allows remote authenticated users to inject arbitrary web script or HTML via a crafted URL.
Die Schwachstelle wurde am 17.01.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2015-7467 geführt. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade vermag dieses Problem zu beheben.CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $5k-$10k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Timeline
17.01.2016 | Advisory veröffentlicht
18.01.2016 | VulDB Eintrag erstellt
18.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7467 (mitre.org) (nvd.nist.org) (cvedetails.com)
...