Vulnerabilidad en elementid, jnlpname y :tasklabel en IBM Metrica Service Assurance Framework (CVE-2008-5043)
Gravedad CVSS v2.0:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
12/11/2008
Última modificación:
09/04/2025
Descripción
Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en el interfaz web de IBM Metrica Service Assurance Framework que permitiría que usuarios remotos autenticados inyectar instrucciones Web o HTML a traves de (1) el parámetro elementid en la acción generatedreportresults del programa ReportTree, (2) el parámetro jnlpname en el programa Launch o (3) el parámetro :tasklabel en el programa ReportRequest, relacionado con el nombre de un reporte.
Impacto
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:ibm:metrica_service_assurance_framework:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.grok.org.uk/pipermail/full-disclosure/2008-November/065520.html
- http://secunia.com/advisories/32683
- http://securityreason.com/securityalert/4578
- http://www.securityfocus.com/archive/1/498168/100/0/threaded
- http://www.securityfocus.com/bid/32233
- http://www.vupen.com/english/advisories/2008/3145
- https://exchange.xforce.ibmcloud.com/vulnerabilities/46495
- http://lists.grok.org.uk/pipermail/full-disclosure/2008-November/065520.html
- http://secunia.com/advisories/32683
- http://securityreason.com/securityalert/4578
- http://www.securityfocus.com/archive/1/498168/100/0/threaded
- http://www.securityfocus.com/bid/32233
- http://www.vupen.com/english/advisories/2008/3145
- https://exchange.xforce.ibmcloud.com/vulnerabilities/46495