CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
5.3 | $0-$5k | 0.00 |
Unter dem Oberbegriff Tivoli bietet IBM Software zur Verwaltung von Informationssystemen an. Sie dienen zum einen dazu, Rechner zu überwachen, Software zu verteilen, Systeme zu inventarisieren oder Daten zu sichern. Zum anderen werden Prozesse wie Release-, Change- und Storage Management mit Applikationen unterlegt. Gegründet 1989 in Austin (Texas), ist Tivoli seit 1996 eine hundertprozentige Tochter der IBM. IBM meldet eine Schwachstelle in Tivoli 6.x, wonach ein Benutzer mangels Eingabevalidierung des "Description" Feldes beliebigen Scriptcode im Kontext der Applikation zur Ausführung bringen kann. Dadurch eröffnen sich einem Angreifer die Möglichkeiten konkreter webbasierter Angriffsmethoden wie Cross-Site-Scripting oder Cross-Site-Request Forgery. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (38214) dokumentiert. Die Einträge VDB-252301, VDB-253521, VDB-255332 und VDB-255497 sind sehr ähnlich.
Gelingt es einem Angreifer, die Softwareverteilung eines Betriebes unter seine Kontrolle zu bringen, so eröffnen sich ihm eine Vielzahl von Möglichkeiten für weitere Attacke. IBM empfiehlt daher, Zugriff auf Tivoli nur an vertrauenswürdige Benutzer abzugeben - was im Anbetracht der Angriffsmöglichkeiten sowie der Skalierung des Produktes als eher schwache Response zu werten ist. Dennoch bleibt betroffenen Administratoren derzeit nichts anderes übrig, als den mässig nützlichen Rat zu beherzigen und auf eine baldige Behebung des Problems in Form eines Patchs zu hoffen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.3
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DisableStatus: 🔍
0-Day Time: 🔍
Timeline
11.10.2007 🔍30.10.2007 🔍
02.11.2007 🔍
02.11.2007 🔍
03.11.2007 🔍
13.11.2007 🔍
13.11.2007 🔍
03.12.2007 🔍
16.03.2021 🔍
Quellen
Hersteller: ibm.comAdvisory: www-1.ibm.com
Firma: IBM
Status: Bestätigt
CVE: CVE-2007-5949 (🔍)
X-Force: 38214 - IBM Tivoli Service Desk Maximo description cross-site scripting, Medium Risk
SecurityFocus: 26305 - IBM Tivoli Service Desk Maximo HTML Injection Vulnerability
Secunia: 27472 - IBM Tivoli Service Desk Maximo "Description" Script Insertion, Less Critical
OSVDB: 38394 - IBM Tivoli Service Desk Maximo change Action Description Field XSS
Vupen: ADV-2007-3709
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 03.12.2007 13:49Aktualisierung: 16.03.2021 08:08
Anpassungen: 03.12.2007 13:49 (70), 03.12.2015 11:09 (2), 16.03.2021 08:08 (8)
Komplett: 🔍
Cache ID: 3:0C4:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.