阿里云漏洞库

漏洞描述

IBM Maximo Asset Management解决方案能够在一个平台上管理所有类型的资产，如生产、基础架构、设施、交通运输和通信等，实现对它们的单点控制。IBM Maximo Asset Management产品存在SQL注入漏洞。允许攻击者利用漏洞注入恶意SQL查询，获得数据库信息或控制应用系统。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：http://www-01.ibm.com/support/docview.wss?uid=swg21610081

参考链接
http://secunia.com/advisories/50551
http://www-01.ibm.com/support/docview.wss?uid=swg1IV17964
http://www-01.ibm.com/support/docview.wss?uid=swg21610081
https://exchange.xforce.ibmcloud.com/vulnerabilities/74307

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	change_and_configuration_management_database	6.0	-
	运行在以下环境
	应用	ibm	change_and_configuration_management_database	7.0	-
	运行在以下环境
	应用	ibm	maximo_asset_management	7.1.0.0	-
	运行在以下环境
	应用	ibm	maximo_asset_management	7.5.0.0	-
	运行在以下环境
	应用	ibm	maximo_service_desk	6.2	-
	运行在以下环境
	应用	ibm	smartcloud_control_desk	7.0	-
	运行在以下环境
	应用	ibm	tivoli_asset_management_for_it	6.0	-
	运行在以下环境
	应用	ibm	tivoli_asset_management_for_it	6.2	-
	运行在以下环境
	应用	ibm	tivoli_asset_management_for_it	7.0	-
	运行在以下环境
	应用	ibm	tivoli_asset_management_for_it	7.1	-
	运行在以下环境
	应用	ibm	tivoli_asset_management_for_it	7.2	-
	运行在以下环境
	应用	ibm	tivoli_service_request_manager	7.0	-

攻击路径

网络
攻击复杂度

低
权限要求

一次
影响范围

N/A
用户交互

无
可用性

部分地
保密性

部分地
完整性

部分地

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

IBM Maximo Asset Management 至 7.5.0.0 sql 注入漏洞

漏洞描述

解决建议

参考链接

受影响软件情况