阿里云漏洞库

漏洞描述

IBM Maximo Asset Management解决方案能够在一个平台上管理所有类型的资产，如生产、基础架构、设施、交通运输和通信等，实现对它们的单点控制。IBM Maximo Asset Management存在跨站请求伪造漏洞。远程攻击者可以利用漏洞构建URI，诱使用户解析，可以目标用户上下文执行恶意操作。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：http://www-01.ibm.com/support/docview.wss?uid=swg21610081

参考链接
http://osvdb.org/85179
http://secunia.com/advisories/50551
http://www-01.ibm.com/support/docview.wss?uid=swg1IV16085
http://www-01.ibm.com/support/docview.wss?uid=swg1IV16497
http://www-01.ibm.com/support/docview.wss?uid=swg21610081
https://exchange.xforce.ibmcloud.com/vulnerabilities/73534

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	change_and_configuration_management_database	6.0	-
	运行在以下环境
	应用	ibm	change_and_configuration_management_database	7.0	-
	运行在以下环境
	应用	ibm	maximo_asset_management	6.2.0.0	-
	运行在以下环境
	应用	ibm	maximo_asset_management	7.1.0.0	-
	运行在以下环境
	应用	ibm	maximo_asset_management	7.5.0.0	-
	运行在以下环境
	应用	ibm	maximo_service_desk	6.2	-
	运行在以下环境
	应用	ibm	smartcloud_control_desk	7.0	-
	运行在以下环境
	应用	ibm	tivoli_asset_management_for_it	6.0	-
	运行在以下环境
	应用	ibm	tivoli_asset_management_for_it	6.2	-
	运行在以下环境
	应用	ibm	tivoli_asset_management_for_it	7.0	-
	运行在以下环境
	应用	ibm	tivoli_asset_management_for_it	7.1	-
	运行在以下环境
	应用	ibm	tivoli_asset_management_for_it	7.2	-
	运行在以下环境
	应用	ibm	tivoli_service_request_manager	7.0	-

攻击路径

网络
攻击复杂度

N/A
权限要求

无
影响范围

N/A
用户交互

需要
可用性

部分地
保密性

部分地
完整性

部分地

CWE-ID	漏洞类型
CWE-352	跨站请求伪造（CSRF）

IBM Maximo Asset Management跨站请求伪造漏洞

漏洞描述

解决建议

参考链接

受影响软件情况