Podatność CVE-2012-3315
Publikacja: 2012-11-08

Opis:
The Java servlets in the management console in IBM Tivoli Federated Identity Manager (TFIM) through 6.2.2 and Tivoli Federated Identity Manager Business Gateway (TFIMBG) before 6.2.2 do not require authentication for all resource downloads, which allows remote attackers to bypass intended J2EE security constraints, and obtain sensitive information related to (1) federation metadata or (2) a web plugin configuration template, via a crafted request.

Typ:

CWE-287

 (Improper Authentication)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5/10
2.9/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
IBM -> Tivoli federated identity manager 
IBM -> Tivoli federated identity manager business gateway 

 Referencje:
http://xforce.iss.net/xforce/xfdb/77796
http://www-01.ibm.com/support/docview.wss?uid=swg21615772
http://www-01.ibm.com/support/docview.wss?uid=swg21615770
http://www-01.ibm.com/support/docview.wss?uid=swg1IV26827
http://www-01.ibm.com/support/docview.wss?uid=swg1IV26826
http://www-01.ibm.com/support/docview.wss?uid=swg1IV26825
Copyright 2024, cxsecurity.com

 

Back to Top