Security Bulletin
Summary
特殊な細工をされた URL を利用しリモート攻撃者がユーザーの認証資格情報にアクセスできてしまう JSoup の脆弱性は、IBM Forms Experience Builder に影響します。
Vulnerability Details
CVE-ID: CVE-2015-6748
説明:JSoup には SafeHTML バリデータによるユーザーからの入力の検証が不適切なことによる、クロスサイトスクリプティングの脆弱性があります。リモート攻撃者は、特別に細工された URL を使ってこの脆弱性を悪用する可能性があります。URL をクリックすると、スクリプトは、ホスト Web サイトのセキュリティコンテキスト内の被害者のブラウザ上で実行されます。攻撃者がこの脆弱性を利用すると、被害者の Cookie ベースの認証資格情報を盗むことができてしまいます。
CVSS Base Score: 6.100
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Affected Products and Versions
IBM Forms Experience Builder 8.5
IBM Forms Experience Builder 8.5.1
IBM Forms Experience Builder 8.6
Remediation/Fixes
製品 | VRMF | APAR | 対応策 |
IBM Forms Experience Builder | 8.5.0.* | LO87135 | 8.5.1.1 をダウンロードして導入してください |
IBM Forms Experience Builder | 8.5.1.* | LO87135 | |
IBM Forms Experience Builder | 8.6.0.* | LO87135 | 8.6.2.1 をダウンロードして導入してください |
Get Notified about Future Security Bulletins
References
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Was this topic helpful?
Document Information
Modified date:
16 June 2018
UID
swg21972737