IBM Support

(参考) JSoup の脆弱性が IBM Forms Experience Builder に与える影響について (CVE-2015-6748)

Security Bulletin


Summary

特殊な細工をされた URL を利用しリモート攻撃者がユーザーの認証資格情報にアクセスできてしまう JSoup の脆弱性は、IBM Forms Experience Builder に影響します。

Vulnerability Details


CVE-ID: CVE-2015-6748
説明:JSoup には SafeHTML バリデータによるユーザーからの入力の検証が不適切なことによる、クロスサイトスクリプティングの脆弱性があります。リモート攻撃者は、特別に細工された URL を使ってこの脆弱性を悪用する可能性があります。URL をクリックすると、スクリプトは、ホスト Web サイトのセキュリティコンテキスト内の被害者のブラウザ上で実行されます。攻撃者がこの脆弱性を利用すると、被害者の Cookie ベースの認証資格情報を盗むことができてしまいます。

CVSS Base Score: 6.100
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

Affected Products and Versions

IBM Forms Experience Builder 8.5
IBM Forms Experience Builder 8.5.1
IBM Forms Experience Builder 8.6

Remediation/Fixes

製品

 VRMF APAR 対応策
IBM Forms Experience Builder 8.5.0.* LO871358.5.1.1 をダウンロードして導入してください
IBM Forms Experience Builder 8.5.1.* LO87135
IBM Forms Experience Builder 8.6.0.* LO871358.6.2.1 をダウンロードして導入してください

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS 概説」をご参照ください。

原文:
(英文)「Security Bulletin: Vulnerability in JSoup affects IBM Forms Experience Builder (CVE-2015-6748)」(Technote #1971539)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

[{"Product":{"code":"SS6KJL","label":"IBM Forms Experience Builder"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF002","label":"AIX"},{"code":"PF016","label":"Linux"},{"code":"PF033","label":"Windows"}],"Version":"8.6;8.5.1;8.5.0.1;8.5","Edition":"","Line of Business":{"code":"LOB31","label":"WCE Watson Marketing and Commerce"}}]

Document Information

Modified date:
16 June 2018

UID

swg21972737

Page Feedback