IBM Planning Analytics Local (версии 2.0.0‑2.0.106 и 2.1.0‑2.1.13) позволяет привилегированному пользователю обойти пользовательский интерф…
IBM Planning Analytics Local (версии 2.0.0‑2.0.106 и 2.1.0‑2.1.13) позволяет привилегированному пользователю обойти пользовательский интерфейс и получить несанкционированный доступ к конфиденциальным данным из‑за неправильной валидации входных параметров [1]. Уязвимость классифицируется как CWE‑1286 (Improper Validation of Syntactic Correctness of Input). IBM рекомендует установить последние патчи (2.0.107, 2.1.14) [2].
Продукт получает входные данные, которые должны быть правильно сформированы — то есть соответствовать определённому синтаксису, — однако не проверяет или некорректно проверяет их соответствие этому синтаксису.
https://cwe.mitre.org/data/definitions/1286.html →Открыть в коллекции CWE →Данная атака эксплуатирует целевое программное обеспечение, формирующее SQL-запросы на основе пользовательского ввода. Злоумышленник формирует входные строки таким образом, чтобы в результате построения SQL-запросов на их основе получались SQL-выражения, выполняющие действия, отличные от предусмотренных приложением. Внедрение SQL-кода является следствием некорректной проверки входных данных приложением.
https://capec.mitre.org/data/definitions/66.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/676.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| planning_analytics_local | * | Отслеживается |