IBM Security Identity Governance/Intelligence 至 5.2.4.1 Token httponly 会话固定漏洞

CVE编号

CVE-2018-1948

利用情况

暂无

补丁情况

N/A

披露时间

2019-02-22
漏洞描述
IBM Security Identity Governance and Intelligence 5.2到5.2.4.1虚拟设备未在授权令牌或会话cookie上设置安全属性。攻击者可以通过向用户发送http://链接或通过在用户访问的站点中植入此链接来获取cookie值。 cookie将被发送到不安全的链接,然后攻击者可以通过窥探流量来获取cookie值。 IBM X-Force ID:153428。<br>
解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://www-01.ibm.com/support/docview.wss?uid=ibm10872142
参考链接
https://exchange.xforce.ibmcloud.com/vulnerabilities/153428
https://www.ibm.com/support/docview.wss?uid=ibm10872142
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 ibm security_identity_governance_and_intelligence * From
(including)
5.2 		Up to
(including)
5.2.4.1
运行在以下环境
系统 fedora_29 qemu-kvm * Up to
(excluding)
3.0.0-4.fc29
运行在以下环境
系统 opensuse_Leap_15.0 qemu * Up to
(excluding)
2.11.2-lp150.7.18.1
运行在以下环境
系统 opensuse_Leap_42.3 qemu * Up to
(excluding)
2.9.1-56.1
运行在以下环境
系统 oracle_7 qemu * Up to
(excluding)
2.9.0-19.el7
运行在以下环境
系统 suse_11_SP4 kvm * Up to
(excluding)
1.4.2-60.21.1
运行在以下环境
系统 suse_12_SP3 + * Up to
(excluding)
1.10.2-6.28.1
运行在以下环境
系统 suse_12_SP4 + * Up to
(excluding)
1.11.0-5.8.1
CVSS3评分
4.3
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
    需要
  • 可用性
  • 保密性
  • 完整性
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CWE-ID 漏洞类型
CWE-384 会话固定
阿里云安全产品覆盖情况