CRITICAL🇬🇧 English

CVE-2023-47143

HTTP header injection w IBM Tivoli Application Dependency Discovery Manager

CVSS 10.0v3.1pub. 2024-02-02upd. 2024-11-21

IBM Tivoli Application Dependency Discovery Manager w wersjach 7.3.0.0–7.3.0.10 jest podatny na atak typu HTTP header injection poprzez nagłówek HOST. Podatność uzyskała najwyższy możliwy wynik CVSS 10.0, co oznacza krytyczne zagrożenie dla systemów, na których jest wdrożona.

Pokaż oryginał (EN)

IBM Tivoli Application Dependency Discovery Manager 7.3.0.0 through 7.3.0.10 is vulnerable to HTTP header injection, caused by improper validation of input by the HOST headers. This could allow an attacker to conduct various attacks against the vulnerable system, including cross-site scripting, cache poisoning or session hijacking. IBM X-Force ID: 270270.

🤖 Analiza AI
Jak działa

Aplikacja nieprawidłowo waliduje dane wejściowe zawarte w nagłówku HTTP HOST przesyłanym przez klienta. Atakujący może wstrzyknąć do nagłówka złośliwe dane, manipulując w ten sposób odpowiedziami serwera. Mechanizm ten umożliwia przeprowadzenie ataków takich jak XSS (cross-site scripting), cache poisoning (zatrucie pamięci podręcznej) lub session hijacking (przejęcie sesji użytkownika). Atak nie wymaga uwierzytelnienia ani interakcji ze strony ofiary.

Skutki

Atakujący może przejąć sesję użytkownika (session hijacking), wstrzyknąć złośliwe skrypty (XSS) wykonywane w kontekście przeglądarki ofiary lub zatruć pamięć podręczną (cache poisoning), co może prowadzić do kompromitacji poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły poprawki dostępne pod adresem: https://www.ibm.com/support/pages/node/7105139

Kogo dotyczy

IBM Tivoli Application Dependency Discovery Manager w wersjach od 7.3.0.0 do 7.3.0.10 włącznie.

Uwagi

Podatność została zidentyfikowana i zgłoszona przez IBM X-Force pod identyfikatorem ID: 270270.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • IBM Tivoli Application Dependency Discovery Manager

    APP
    Ibm
    7.3.0.0 – 7.3.0.11 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2023-47142HIGH7.5ten sam produkt

IBM Tivoli Application Dependency Discovery Manager 7.3.0.0 through 7.3.0.10 could allow an attacker on the or...

CVE-2013-3017HIGH7.5ten sam produkt

IBM Tivoli Application Dependency Discovery Manager (TADDM) before 7.2.1.5 and 7.2.x before 7.2.2 make it easi...

CVE-2013-3023HIGH8.1ten sam produkt

IBM Tivoli Application Dependency Discovery Manager (TADDM) 7.1.2 and 7.2.0 through 7.2.1.4 might allow remote...

CVE-2013-2974HIGH7.5ten sam produkt

The BIRT viewer in IBM Tivoli Application Dependency Discovery Manager (TADDM) 7.2.1.x before 7.2.1.5 allows r...

CVE-2013-4002HIGH7.1ten sam produkt

XMLscanner.java in Apache Xerces2 Java Parser before 2.12.0, as used in the Java Runtime Environment (JRE) in ...