ASA-2019-00255 – IBM Planning Analytics: Vulnerabilidade de Cross-Site Scripting (XSS) no Dojo Toolkit

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00255

Identificador(es)

ASA-2019-00255, CVE-2018-15494

Título

Vulnerabilidade de Cross-Site Scripting (XSS) no Dojo Toolkit

Fabricante(s)

IBM

Produto(s)

IBM Planning Analytics

Versão(ões) afetada(s)

IBM Planning Analytics versões 2.0, 2.0.1, 2.0.2, 2.0.3, 2.0.4, 2.0.5 e 2.0.6

Versão(ões) corrigida(s)

IBM Planning Analytics versão 2.0.7

Prova de conceito

Desconhecido

Descrição

O Dojo Toolkit é vulnerável a Cross-Site Scripting (XSS), causado pela validação inadequada da entrada fornecida pelo usuário pelo componente DataGrid. Um atacante remoto pode explorar essa vulnerabilidade para injetar um script mal-intencionado em uma página da Web que seria executada no navegador da vítima dentro do contexto de segurança do site de hospedagem, assim que a página for visualizada. Um atacante pode usar essa vulnerabilidade para roubar as credenciais de autenticação baseadas em cookies da vítima.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

Security Bulletin: Multiple vulnerabilities affect IBM Planning Analytics
https://www-01.ibm.com/support/docview.wss?uid=ibm10879407

Dojo Toolkit DataGrid component cross-site scripting
https://exchange.xforce.ibmcloud.com/vulnerabilities/148556

CVE-2018-15494
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15494

CVE-2018-15494
https://nvd.nist.gov/vuln/detail/CVE-2018-15494

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 3 maio 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.