IBM Rational ClearQuest 跨站腳本漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】IBM Rational ClearQuest沒有正確地驗證對contextid、schema、userNameVal、username變量的輸入參數，允許遠程攻擊者通過提交特製的URL請求執行跨站腳本攻擊。

發佈日期：2008-03-19

更新日期：2008-03-20

受影響系統：

IBM Rational ClearQuest 7.0.1.0_iFix01

IBM Rational ClearQuest 7.0.0.1_iFix04

IBM Rational ClearQuest 2003.06.16 Patch 2007C

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 28296

CVE(CAN) ID: CVE-2007-4592

IBM Rational ClearQuest是全面的軟體變更、追蹤管理解決方案。

Rational ClearQuest沒有正確地驗證對contextid、schema、userNameVal、username變量的輸入參數，允許遠程攻擊者通過提交特製的URL請求執行跨站腳本攻擊。

<*來源：sasquatch （[email protected]）

鏈接：http://marc.info/?l=bugtraq&m=120595697506703&w=2

http://secunia.com/advisories/29467/

*>

建議：

--------------------------------------------------------------------------------

廠商補丁：

IBM

---

目前廠商已經發佈了升級補丁以修復這個安全問題，請到廠商的主頁下載：

http://www.ers.ibm.com/

(