Vulnerabilities > CVE-2014-0842 - Credentials Management vulnerability in IBM Rational Focal Point

047910
CVSS 5.0 - MEDIUM
Attack vector
NETWORK
Attack complexity
LOW
Privileges required
NONE
Confidentiality impact
PARTIAL
Integrity impact
NONE
Availability impact
NONE
network
low complexity
ibm
CWE-255

Summary

The account-creation functionality in IBM Rational Focal Point 6.4.x and 6.5.x before 6.5.2.3 and 6.6.x before 6.6.1 places the new user's default password within the creation page, which allows remote attackers to obtain sensitive information by reading the HTML source code.

Common Weakness Enumeration (CWE)

Seebug

bulletinFamilyexploit
descriptionCVE ID:CVE-2014-0839、CVE-2014-0840、CVE-2014-0842、CVE-2014-0843、CVE-2014-0853 IBM Rational Focal Point是IBM Rational基于Web的产品管理系统,内置了面向客户和市场的产品管理流程,提供产品管理过程中的工作流自动化、信息相关性分析、信息统计分析以及信息的优先级分析功能。 IBM Rational Focal Point存在多个安全漏洞: 1,不正确过滤部分用户输入,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。 2,由于不正确的直接对象引用,可被攻击者利用漏洞修改系统数据。 3,不正确过滤返回给用户的输入,允许远程攻击者利用漏洞构建恶意URI,诱使用户解析,当恶意数据被查看时,可获取敏感信息或劫持用户会话。 4,部分相关文件上传的输入在使用之前缺少过滤,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。 5,存在未明错误,允许攻击者获取新用户的默认密码。 0 IBM Rational Focal Point 6.x 厂商补丁: IBM ----- 用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞: http://www.ibm.com/support/docview.wss?uid=swg21665005 http://www.ibm.com/support/docview.wss?uid=swg24036323
idSSV:61554
last seen2017-11-19
modified2014-02-25
published2014-02-25
reporterRoot
titleIBM Rational Focal Point未明多个安全漏洞