IBM Advanced Management Module up to 2.49 adv_sw.php 跨站脚本攻击

CVE编号

CVE-2013-4007

利用情况

暂无

补丁情况

N/A

披露时间

2013-08-16

漏洞描述

IBM BladeCenter是一款高性能企业级服务器。 IBM BladeCenter高级管理模块存在跨站脚本漏洞。由于传递给adv_sw.php的输入在返回用户之前缺少充分过滤，允许攻击者构建恶意URI，诱使用户解析，可获取敏感信息或获得未授权访问。

解决建议

IBM BladeCenter Advanced Management Module Firmware BPET64G和BBET64G已经修复此漏洞，建议用户下载更新：http://www14.software.ibm.com/webapp/download/demo.jsp?id=IBM+BladeCenter+Advanced+Management+Module+Nov06&locale=en

参考链接
http://www.ibm.com/support/entry/portal/docdisplay?lndocid=MIGR-5093491
https://exchange.xforce.ibmcloud.com/vulnerabilities/85274

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	硬件	ibm	advanced_management_module	*		Up to (including) 2.48
	运行在以下环境
	硬件	ibm	advanced_management_module	*		Up to (including) 3.54
	运行在以下环境
	硬件	ibm	advanced_management_module	1.00	-
	运行在以下环境
	硬件	ibm	advanced_management_module	1.01	-
	运行在以下环境
	硬件	ibm	advanced_management_module	1.20	-
	运行在以下环境
	硬件	ibm	advanced_management_module	1.25	-
	运行在以下环境
	硬件	ibm	advanced_management_module	1.26	-
	运行在以下环境
	硬件	ibm	advanced_management_module	1.28	-
	运行在以下环境
	硬件	ibm	advanced_management_module	1.32	-
	运行在以下环境
	硬件	ibm	advanced_management_module	1.34	-
	运行在以下环境
	硬件	ibm	advanced_management_module	1.36	-
	运行在以下环境
	硬件	ibm	advanced_management_module	1.42	-
	运行在以下环境
	硬件	ibm	advanced_management_module	2.46	-
	运行在以下环境
	硬件	ibm	advanced_management_module	2.48	-
	运行在以下环境
	硬件	ibm	advanced_management_module	2.50	-
	运行在以下环境
	硬件	ibm	advanced_management_module	3.54	-
	运行在以下环境
	硬件	ibm	bladecenter	hs22	-
	运行在以下环境
	硬件	ibm	bladecenter	hs22v	-
	运行在以下环境
	硬件	ibm	bladecenter	hs23	-
	运行在以下环境
	硬件	ibm	bladecenter	hs23e	-
	运行在以下环境
	硬件	ibm	bladecenter	hx5	-

CVSS3评分 3.5

• 攻击路径 网络
• 攻击复杂度 N/A
• 权限要求 一次
• 影响范围 N/A
• 用户交互 需要
• 可用性 无
• 保密性 无
• 完整性 部分地

AV:N/AC:M/Au:S/C:N/I:P/A:N

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com